一个影响颇广的 WordPress 插件 Greenshift – animation and page builder blocks 被发现存在严重漏洞，这可能使超过 5 万个活跃网站面临被完全攻陷的风险。该漏洞被追踪编号为 CVE-2025-3616，通用漏洞评分系统（CVSS）评分为 8.8。这个漏洞使得已认证用户，甚至是那些仅拥有订阅者级别权限的用户，都能够上传任意文件（包括恶意 PHP 脚本），并远程执行这些文件。

该漏洞由研究人员 mikemyers 通过 Wordfence 漏洞赏金计划发现，存在于该插件 11.4 版本引入的 gspb_make_proxy_api_request () 函数中。虽然这个函数为合法的媒体类型添加了文件上传功能，但一个严重的疏忽使其容易被滥用。

Wordfence 指出：“尽管该函数包含了一个 MIME 类型检查，但这并不够，而且遗憾的是，在存在漏洞的版本中没有包含任何文件类型或文件扩展名检查。”

由于缺乏严格的文件扩展名验证，攻击者可以通过欺骗文件头来绕过有限的 MIME 类型检查，并将.php 格式的网页后门上传到一个可公开访问的目录中，从而使他们能够在服务器上执行任意命令。

以下是这个漏洞的危险之处：

1.该插件在未进行适当权限检查的情况下接受已认证用户的上传请求。

2.仅实施了简单的 MIME 类型验证，而这种验证很容易被欺骗。

3.上传的文件被保存到 “./wp-content/uploads/api_upload/” 目录中，该目录通常可通过网络访问。

4.攻击者随后可以直接通过浏览器访问并执行恶意 PHP 文件。

这就为远程代码执行（RCE）创造了一条直接的途径，从而能够完全控制网站。

如果你正在使用 Greenshift 插件，务必更新到 11.4.6 版本或更高版本。11.4 版本至 11.4.5 版本的早期版本存在漏洞，如果检测到异常行为，应认为这些版本已被攻陷。

此外，管理员应检查其上传目录中是否存在未知的.php 文件，并监控可疑的用户活动，尤其是来自低权限账户的活动。