Wordfence报告称，WordPress插件Everest Forms存在严重漏洞CVE-2025-1128，该漏洞允许黑客上传任意文件至WordPress网站，进而实现远程执行任意代码。该插件主要用于创建表单、问卷、投票等。目前，开发者已发布3.0.9.5版本补丁修复此Bug，安全人员Arkadiusz Hydzik因此获得4290美元的漏洞奖励。该漏洞CVSS风险评分高达9.8分，影响3.0.9.5前所有版本，波及“多达10万家”网站。

⚠️Everest Forms插件的CVE-2025-1128漏洞，风险评分高达9.8分，允许黑客上传恶意文件并远程执行代码，对网站安全构成严重威胁。

🛡️漏洞源于EVF_Form_Fields_Upload类缺乏文件类型和路径验证，导致黑客可以上传任意文件，甚至读取或删除网站数据，攻击目标直指wp-config.php，威胁整个网站的控制权。

🔓黑客可利用format()方法未检查文件类型或后缀名的漏洞，将包含恶意PHP代码的CSV或TXT文件重命名为PHP文件上传，并在未经身份验证的情况下远程执行恶意代码。

✅官方已发布3.0.9.5版本补丁修复该漏洞，建议所有使用Everest Forms插件的用户尽快更新至最新版本，以避免潜在的安全风险。

IT之家 3 月 2 日消息，据外媒 Wordfence 报道，安全人员 Arkadiusz Hydzik 向其报告一款名为 Everest Forms 的 WordPress 插件存在严重漏洞 CVE-2025-1128，黑客可利用漏洞将任意文件上传至 WordPress 网站，从而实现远程执行任意代码。

据悉，这款 Everest Forms 插件主要为网站管理员提供创建表单、问卷、投票等功能。目前 Wordfence 已将所有信息提交给 Everest Forms 开发者，目前相应插件已发布 3.0.9.5 版本补丁修复相应 Bug，而安全人员 Arkadiusz Hydzik 也获得了 4290 美元（IT之家备注：当前约 31274 元人民币）的漏洞奖励。

IT之家参考报告获悉，这一 CVE-2025-1128 漏洞的 CVSS 风险评分高达 9.8 分（满分 10 分），3.0.9.5 前所有版本的 Everest Forms 均存在这一漏洞，目前部署该插件的网站“多达 10 万家”。

针对该漏洞产生的原因，Wordfence 漏洞研究员 István Márton 指出，问题在于 EVF_Form_Fields_Upload 这个类缺乏对文件类型和路径的验证，导致 WordPress 网站不仅能上传任意文件，还可能被黑客随意读取或删除任何数据；若黑客针对 wp-config.php 下手，就有可能控制整个网站。

由于 EVF_Form_Fields_Upload 中的方法 format () 对文件类型或后缀名没有进行检查，黑客可直接将包含恶意 PHP 代码的 CSV 或 TXT 文本文件重命名为 PHP 文件并上传，而 WordPress 网站会自动将这些文件移动到任何人均可公开访问的上传目录，这样黑客便可在未经过身份验证的情况下上传恶意 PHP 代码，进而触发漏洞在服务器上远程执行任意代码。