安全人员Arkadiusz Hydzik 向其报告一款名为 Everest Forms 的 WordPress 插件存在严重漏洞 CVE-2025-1128，黑客可利用漏洞将任意文件上传至 WordPress 网站，从而实现远程执行任意代码。

　　这一 CVE-2025-1128 漏洞的 CVSS 风险评分高达 9.8 分，3.0.9.5 前所有版本的 Everest Forms 均存在这一漏洞，针对该漏洞产生的原因，Wordfence 漏洞研究员 István Márton 指出，问题在于 EVF_Form_Fields_Upload 这个类缺乏对文件类型和路径的验证，导致 WordPress 网站不仅能上传任意文件，还可能被黑客随意读取或删除任何数据；若黑客针对 wp-config.php 下手，就有可能控制整个网站。

　　由于 EVF_Form_Fields_Upload 中的方法 format 对文件类型或后缀名没有进行检查，黑客可直接将包含恶意 PHP 代码的 CSV 或 TXT 文件重命名为 PHP 文件并上传，而 WordPress 网站会自动将这些文件移动到任何人均可公开访问的上传目录，这样黑客便可在未经过身份验证的情况下上传恶意 PHP 代码，进而触发漏洞在服务器上远程执行任意代码。