平台
wordpress
组件
kali-forms
修复版本
2.5.4
CVE-2026-3584是一个影响Kali Forms联系表单构建器的远程代码执行(RCE)漏洞。该漏洞允许未经身份验证的攻击者利用'form_process'函数执行恶意代码,从而可能完全控制受影响的服务器。此漏洞影响Kali Forms插件的所有版本,包括0.0.0到2.4.9。建议立即升级到2.4.10版本以消除此风险。
此RCE漏洞的潜在影响非常严重。攻击者可以利用此漏洞在WordPress服务器上执行任意代码,从而获取对网站的完全控制权。这可能导致数据泄露、恶意软件安装、网站篡改,甚至服务器被完全控制。攻击者可以利用此漏洞窃取敏感信息,例如用户凭据、数据库内容和商业机密。此外,攻击者还可以利用此漏洞作为跳板,进行横向移动,攻击网络中的其他系统。由于Kali Forms插件被广泛使用,因此此漏洞的潜在影响范围非常广泛。
目前尚无公开的漏洞利用代码(PoC),但由于漏洞的严重性和易利用性,预计未来可能会出现。该漏洞已添加到NVD数据库中,CISA尚未将其添加到KEV目录中。攻击者可能会积极寻找利用此漏洞的机会,特别是针对运行旧版本Kali Forms插件的网站。
WordPress websites utilizing the Kali Forms plugin, particularly those running older versions (0.0.0–2.4.9), are at significant risk. Shared hosting environments are especially vulnerable as they often lack granular control over plugin updates and security configurations. Websites relying on Kali Forms for critical data collection or processing are also at heightened risk.
• wordpress / composer / npm:
grep -r 'call_user_func' /var/www/html/wp-content/plugins/kali-forms/• wordpress / composer / npm:
wp plugin list --status=all | grep 'kali-forms'• wordpress / composer / npm:
wp plugin update kali-forms --all• generic web: Check WordPress plugin directory for Kali Forms version 2.4.9 or earlier.
disclosure
漏洞利用状态
EPSS
0.29% (52% 百分位)
CISA SSVC
最有效的缓解措施是立即将Kali Forms插件升级到2.4.10或更高版本。如果升级会导致网站中断,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,可以实施一些额外的安全措施来降低风险。例如,可以使用Web应用防火墙(WAF)来阻止恶意请求。还可以配置WordPress服务器的访问控制列表(ACL),以限制对敏感文件的访问。监控Kali Forms插件的日志文件,以检测任何可疑活动。升级后,请确认漏洞已修复,可以通过尝试触发漏洞的攻击向量来验证。
更新到 2.4.10 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-3584是一个远程代码执行漏洞,影响Kali Forms联系表单构建器0.0.0–2.4.9版本。攻击者可以通过'form_process'函数执行任意代码。
如果您正在使用Kali Forms联系表单构建器版本低于2.4.10,则您可能受到此漏洞的影响。请立即升级到最新版本。
最有效的修复方法是立即将Kali Forms插件升级到2.4.10或更高版本。
目前尚未确认CVE-2026-3584正在被积极利用,但由于漏洞的严重性,预计未来可能会出现利用情况。
请访问Kali Forms官方网站或WordPress插件目录,以获取有关CVE-2026-3584的官方公告和更新信息。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。