🔴 严重 | CVE-2026-14894 — The Super Forms – Drag & Drop Form Builder plugin ...
🔴 《严重安全漏洞:CVE-2026-14894》
CVSS 评分: 严重(9.8) 状态: Received 发布时间: 2026-07-10
漏洞简介
CVE-2026-14894 涉及 WordPress 插件 Super Forms – Drag & Drop Form Builder(版本 ≤ 6.3.313)中的一个任意文件上传漏洞。该漏洞源于 submit_form 函数中缺少文件类型验证,并且 submit_form 的 nopriv AJAX 处理程序(handler)未进行任何权限检查。该处理程序的唯一防护机制是一个会话 nonce(session nonce),而未经身份验证的访问者可以通过一个独立的 nopriv 端点(endpoint)轻松获取该 nonce。这使得未经身份验证的攻击者能够上传可执行文件,从而实现远程代码执行(remote code execution)。
具体来说,super_create_nonce 的 nopriv AJAX 操作允许任何未经身份验证的访问者通过一次单独的请求生成一个有效的 sf_nonce 和会话 cookie(session cookie),从而轻松绕过 nonce 要求。整个攻击过程仅需两次未经身份验证的 HTTP 请求即可完成。
该漏洞对应的 CWE 分类为 CWE-434(危险类型的文件上传无限制),CVSS 向量为 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,表明攻击者无需身份验证、无需用户交互,即可通过网络远程利用该漏洞,对机密性、完整性和可用性造成高影响。
影响范围
- 受影响软件:Super Forms – Drag & Drop Form Builder WordPress 插件
- 受影响版本:所有版本,包括 6.3.313 及之前的所有版本
- 不受影响版本:6.3.314 及更高版本(已修复)
风险分析
该漏洞的风险等级为 严重(Critical),具体风险如下:
- 远程代码执行(Remote Code Execution, RCE):攻击者可以上传任意文件(如 PHP 脚本),并在服务器上执行恶意代码,从而完全控制受影响的 WordPress 站点。
- 完全权限获取:由于攻击者无需任何身份验证,且可上传可执行文件,攻击者可能进一步获取服务器管理权限,导致数据泄露、网站篡改或植入后门。
- 低攻击门槛:攻击仅需两次未经身份验证的 HTTP 请求,且 nonce 可轻易获取,使得大规模自动化攻击成为可能。
- 影响范围广泛:Super Forms 是一个流行的表单构建插件,拥有大量用户,所有使用受影响版本(≤ 6.3.313)的站点均面临直接威胁。
建议用户立即将插件升级至 6.3.314 或更高版本,并检查服务器上是否存在可疑文件。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-14894 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-434 |
| 发布时间 | 2026-07-10 |
| 最后更新 | 2026-07-10 |
| 状态 | Received |
| 数据来源 | security@wordfence.com |
🔗 参考链接
💬 评论