CVE-2026-22460 描述了 wpWax FormGent 中的路径遍历漏洞。该漏洞允许未经授权的用户访问服务器上的敏感文件,可能导致数据泄露或进一步的攻击。此问题影响 FormGent 的 0.0.0 至 1.7.0 版本。建议用户尽快升级到修复版本或实施缓解措施。
攻击者可以利用此路径遍历漏洞访问服务器文件系统中的任意文件,而无需身份验证。这可能包括读取配置文件、数据库凭据或其他敏感信息。攻击者还可以利用此漏洞执行恶意代码或修改服务器上的文件,从而导致服务中断或数据损坏。由于 FormGent 通常用于处理用户提交的数据,因此此漏洞可能导致用户数据的泄露或篡改。攻击者可能通过构造恶意的 URL 请求来触发此漏洞,例如包含 ../ 序列的请求。
目前没有公开的利用程序 (PoC),但路径遍历漏洞通常容易被利用。此漏洞已于 2026-03-05 公开,因此存在被攻击者的利用的可能性。建议密切关注安全社区的动态,并及时采取缓解措施。此漏洞的风险等级取决于 FormGent 插件的部署环境和配置。
WordPress websites utilizing the wpWax FormGent plugin, particularly those running versions 0.0.0 through 1.7.0, are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable. Sites with sensitive data stored in configuration files or accessible via the web server are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/formgent/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/formgent/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到修复版本。由于没有提供修复版本,建议用户采取以下措施:首先,限制 FormGent 插件的访问权限,只允许必要的用户访问。其次,实施 Web 应用防火墙 (WAF) 规则,以阻止包含路径遍历攻击模式的请求。第三,定期审查服务器上的文件权限,确保敏感文件受到保护。最后,监控 FormGent 插件的日志文件,以检测任何可疑活动。升级后,请验证修复是否成功,例如通过尝试访问受限制目录之外的文件。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-22460 描述了 wpWax FormGent 0.0.0–1.7.0 版本中的路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 FormGent 的 0.0.0 至 1.7.0 版本,则可能受到此漏洞的影响。
由于没有提供修复版本,建议升级 WordPress,限制插件访问权限,实施 WAF 规则,并定期审查文件权限。
虽然目前没有公开的利用程序,但路径遍历漏洞通常容易被利用,因此存在被攻击者的利用的可能性。
请访问 wpWax 官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。