漏洞速览
- 漏洞编号:
CVE-2026-5710 - 风险评分:
7.5(高危) - 首次披露:2026-04-17
- 最近更新:2026-04-17
- 软件类型:插件
- 软件标识:
drag-and-drop-multiple-file-upload-contact-form-7 - 受影响版本:<= 1.3.9.6
- 修复版本:1.3.9.7
- 是否已修复:是
漏洞详情
Contact Form 7 的拖拽多文件上传插件存在路径遍历漏洞,可导致任意文件读取,影响版本最高至 1.3.9.6。 该漏洞的根源在于插件直接使用客户端提交的 mfile[] POST 参数作为邮件附件选择的依据,全程未进行任何服务器端上传来源校验、路径规范化或目录边界检查。 在 dndwpcf7posteddata() 函数中,每个用户提交的文件名被直接拼接到插件的上传路径中而未经任何清理;在 dndcf7mailcomponents() 函数中,URL 再通过 strreplace() 被还原为文件系统路径,仅通过 fileexists() 判断文件是否存在便将其附加到发出的 CF7 邮件中。
这使得未认证攻击者可通过在 mfile[] 参数中插入路径遍历序列,读取 Web 服务器进程可访问的任意文件,并以邮件附件形式外泄。 需要注意的是,受 Contact Form 7 插件中 wpcf7isfilepathincontentdir() 函数的限制,该漏洞的影响范围仅限于 wp-content 目录。
影响与风险
- 漏洞类型:Unauthenticated Limited Arbitrary File Read via mfile Field
- 风险说明:漏洞可能被利用以执行未授权操作,建议按官方修复方案立即升级并复核安全配置。
- 研究人员:Osvaldo Noe Gonzalez Del Rio (Os) – krei.dev | ogbuilders.io
修复建议
- 按官方建议执行修复:更新至 1.3.9.7 或更高已修复版本。
- 复核
administrator/shop manager等高权限账号与角色授权。 - 排查近期插件安装/配置变更记录,确认无异常写入。
- 建议配合 WAF 与登录审计,持续观察可疑请求。
