SureForms WordPress插件（活跃安装量超20万个）存在一项严重漏洞，已使相关网站面临任意文件删除的重大威胁，包括可能被删除的网站核心文件wp-config.php，进而可能导致远程代码执行（RCE）和网站被完全接管。

该漏洞由安全研究员PhatRiO-BlueRock通过Wordfence漏洞赏金计划发现并负责任地披露，已被分配CVE编号CVE-2025-6691，CVSS评分为8.8。

Wordfence在报告中解释道：“此漏洞使未授权的威胁者能够在表单提交中指定任意文件路径，当该提交被删除时，对应的文件也会被删除。”

该漏洞的核心在于插件的delete_entry_files()函数存在文件处理缺陷，该函数用于在表单提交被删除时清理上传的文件。然而，由于对文件路径的验证不足，且缺乏对字段类型和上传限制的检查，攻击者得以提供恶意文件数组——即便在不支持文件上传的表单中也能实现。

报告指出：“遗憾的是，该函数未执行任何字段类型检查、文件扩展名检查，也未进行任何上传目录限制检查。”

而通过prepare_submission_data()函数处理表单提交数据的方式，进一步加剧了该漏洞的危害。由于未对输入内容进行验证，未授权攻击者在提交表单时可包含服务器上任意文件的路径。当管理员随后删除该提交（可能误以为是垃圾信息）时，插件会执行文件删除操作，却未察觉该路径是由攻击者提供的。

Wordfence警告称：“这使得任何有活跃表单的实例都可能受到该漏洞的攻击。”

一种实际的攻击途径是，攻击者提交包含指向wp-config.php文件数组的表单——wp-config.php是存储数据库凭据和配置信息的核心文件。当网站管理员删除该表单提交（尤其当它看起来像垃圾信息时），wp-config.php会被删除，WordPress随即进入设置模式。

报告解释道：“删除wp-config.php会迫使网站进入设置状态，攻击者可借此将网站连接到自己控制的数据库，进而发起网站接管。”

尽管此次攻击涉及多个步骤，但无需进行身份认证，这使其对opportunistic威胁者具有极强的吸引力。

该漏洞影响SureForms所有版本（包括1.7.3及以下版本）。对此，Brainstorm Force团队已为之前的8个版本发布了补丁，为用户提供广泛的安全保障。

Wordfence建议：“我们强烈敦促用户尽快确认其网站已更新至SureForms的补丁版本（1.7.4、1.6.5、1.5.1、1.4.5、1.3.2、1.2.5、1.1.2、1.0.7、0.0.14）。”