CVE-2026-3584WordPress Kali Forms插件在所有版本至2.4.9中存在严重的远程代码执行漏洞。该漏洞源于`prepare_post_data`函数将用户提供的键直接映射到内部占位符存储中,并结合对这些占位符值使用`call_user_func`。未经身份验证的攻击者可利用此漏洞在服务器上执行任意代码,导致服务器完全被控制,造成严重的数据泄露和破坏风险。
该漏洞的核心问题在于Kali Forms插件处理表单提交时的不安全数据处理机制。具体来说,插件的`form_process`函数调用了`prepare_post_data`函数。在处理过程中,该函数直接将用户提交的POST数据中的键名映射为内部变量或占位符。随后,程序使用PHP的`call_user_func`函数对这些数据进行动态调用。由于缺乏对用户输入键名的严格过滤和验证,攻击者可以构造恶意的键名(例如包含系统命令或危险函数名)。当这些恶意键名被传递给`call_user_func`时,程序会将其作为回调函数执行。攻击者无需通过WordPress的身份验证,只需向表单处理接口发送特制的HTTP POST请求,即可触发该漏洞,并在服务器端上下文中执行任意PHP代码或系统命令。