近日，一位名叫ArkadiuszHydzik的安全研究人员报告了一款名为EverestForms的WordPress插件中存在的严重漏洞CVE-2025-1128。该漏洞可能允许攻击者将任意文件上传至使用该插件的WordPress网站，并进一步实现远程代码执行。

EverestForms是一款功能强大的WordPress插件，主要帮助网站管理员创建表单、问卷和投票等功能。此漏洞被发现后，相关安全团队已将详细信息提交给EverestForms的开发团队。目前，开发团队已发布3.0.9.5版本修复了这一问题。同时，安全研究人员ArkadiuszHydzik因发现并报告该漏洞而获得了4290美元（约合人民币31274元）的奖励。

经评估，这一漏洞的CVSS风险评分为9.8分（满分为10分），表明其危害性极高。据估计，目前约有10万家网站部署了该插件，而在3.0.9.5版本之前的所有版本中均存在这一漏洞。

Wordfence的漏洞研究员IstvánMárton表示，该漏洞的根本原因在于EVF_Form_Fields_Upload类未对文件类型和路径进行有效验证。这使得攻击者不仅能够上传任意文件，还可能随意读取或删除网站上的数据。如果攻击者针对关键配置文件wp-config.php发起攻击，就有可能完全控制整个网站。

此外，由于EVF_Form_Fields_Upload类中的format方法未对文件类型或后缀名进行检查，攻击者可以将包含恶意PHP代码的CSV或TXT文件重命名为PHP文件并成功上传。这些文件会被WordPress自动移动到公开访问的上传目录中，从而使攻击者能够在未经身份验证的情况下远程执行任意代码，对服务器造成严重威胁。

建议使用EverestForms插件的网站管理员尽快升级至最新版本，以消除这一安全隐患。