超過一萬個 WordPress 網站因「HT Contact Form Widget for Elementor Page Builder & Gutenberg Blocks & Form Builder」外掛程式中發現的三個重大安全漏洞,而面臨被完全接管的風險。
這些漏洞包括任意檔案上傳、任意檔案刪除和任意檔案移動,讓未經授權的攻擊者能執行惡意程式碼、刪除關鍵檔案或將檔案移至其他位置。
根據資安公司 Wordfence 最新安全公告,這三個漏洞都可能導致遠端程式碼執行(RCE)及網站完全被入侵。
漏洞可能導致網站完全被接管
這三個漏洞中最嚴重的是
CVE-2025-7340,CVSS 評分高達 9.8。
因外掛程式的 temp_file_upload() 函數缺乏有效驗證機制,攻擊者可上傳任何類型檔案,包括可執行的 PHP 腳本。這些檔案存放於可公開存取的目錄中,讓攻擊者能直接存取並執行惡意程式。
第二個漏洞
CVE-2025-7341 允許透過 temp_file_delete() 函數任意刪除檔案。攻擊者可刪除 wp-config.php 檔案,使網站進入安裝模式,一旦導向至新的資料庫,即可完全控制該網站。
第三個漏洞
CVE-2025-7360 與 handle_files_upload() 函數的任意檔案移動有關。該函數無法正確過濾檔案名稱,使攻擊者能移動關鍵系統檔案,進而造成與檔案刪除相同的資安漏洞利用風險。
網站管理員應採取的防護措施
這些漏洞由研究人員 vgo0 和 Phat RiO 透過 Wordfence 的漏洞獎勵計畫(Bug Bounty Program)揭露。Wordfence 於 7 月 8 日聯繫外掛開發商 HasTech IT,修補程式隨後於 7 月 13 日(僅五天後)發布。
考量這些資安漏洞的嚴重性,
Wordfence 強烈建議 WordPress 使用者立即確認網站是否已更新至 HT Contact Form 外掛的最新修補版本。
為加強網站安全,該公司建議使用者採取下列防護措施:
- 確保所有外掛程式和佈景主題保持在最新版本
- 立即套用廠商發布的安全性更新
- 採用具備檔案上傳過濾及目錄遍歷防護功能的資安解決方案
Wordfence 進一步呼籲,若您認識使用此外掛程式的網站管理員,請務必與他們分享此安全性公告,以確保其網站安全,因為這些漏洞對網站構成重大威脅。
本文轉載自 InfosecurityMagazine。