CVE-2026-5436MW WP Form插件在5.1.1及以下版本中存在严重的安全漏洞,允许未经身份验证的攻击者执行任意文件移动操作。该问题的根本原因在于未能充分验证`$name`参数,攻击者可以利用WordPress的`path_join`函数特性绕过目录限制。通过构造特定的POST请求,攻击者可以将服务器上的任意文件(如配置文件)移动到可访问的上传目录。在特定条件下,此漏洞可导致敏感信息泄露,甚至通过移动恶意文件导致远程代码执行,严重威胁服务器安全。
漏洞核心在于`generate_user_file_dirpath()`函数对传入的`$name`参数(上传字段键)缺乏有效验证。攻击者通过`mwf_upload_files[]` POST参数注入受控的绝对路径键。该数据经由`_set_request_valiables()`载入数据模型。在表单处理阶段,`regenerate_upload_file_keys()`遍历这些键,并调用`generate_user_filepath()`。由于`path_join()`函数会原样返回绝对路径,若攻击者指定的文件(如`wp-config.php`)真实存在,校验即可通过。随后`_get_attachments()`方法重新读取这些键,并将解析后的文件路径传递给`move_temp_file_to_upload_dir()`,最终调用`rename()`函数将文件移动至上传目录。利用此机制,攻击者可读取敏感数据或通过移动关键文件达成RCE。