近日，WordPress平臺上一款廣受歡迎的表單插件Everest Forms曝出了重大安全漏洞，漏洞編號為CVE-2025-1128。這一發現由安全專家Arkadiusz Hydzik公布，他因此獲得了4290美元的獎金。

據悉，Everest Forms插件因其強大的表單創建功能而備受網站管理員青睞，但此次漏洞的發現卻給其用戶帶來了不小的安全隱患。漏洞的本質在于插件中的EVF_Form_Fields_Upload類未能對上傳的文件類型和路徑進行嚴格的驗證。

攻擊者利用這一漏洞，可以輕松上傳任意類型的文件至存在漏洞的WordPress網站。更令人擔憂的是，由于插件中的format方法缺乏對文件類型或后綴名的檢查，攻擊者甚至可以上傳包含惡意PHP代碼的CSV或TXT文件，并將其重命名為PHP文件，從而實現在未授權的情況下遠程執行任意代碼。

一旦攻擊者成功上傳并激活了惡意文件，他們便有可能進一步讀取或刪除網站上的敏感數據，甚至對關鍵配置文件wp-config.php發起攻擊，從而完全控制整個網站。據估計，目前已有約10萬家網站部署了Everest Forms插件，而這些網站在升級至3.0.9.5版本之前均存在這一漏洞。

安全團隊在得知漏洞詳情后，迅速與Everest Forms的開發團隊取得了聯系。開發團隊對此高度重視，并立即發布了3.0.9.5版本以修復這一問題。同時，安全研究人員Arkadiusz Hydzik因其及時的發現和報告，獲得了來自相關安全團隊的獎勵。

此次漏洞的CVSS風險評分高達9.8分（滿分為10分），充分說明了其極高的危害性。對于仍在使用Everest Forms插件的網站管理員而言，盡快升級至最新版本是消除這一安全隱患的關鍵步驟。在此，也提醒所有WordPress用戶保持警惕，定期更新插件和主題，以確保網站的安全。