一、 漏洞 CVE-2025-11499 基础信息
漏洞信息
# Contact Form DB 插件任意文件上传漏洞
## 概述
Tablesome Table – Contact Form DB – WPForms、CF7、Gravity、Forminator、Fluent 是一款用于 WordPress 的插件,允许用户存储和展示表单提交的数据。该插件在所有版本 **1.1.32 及之前版本**中存在一个**任意文件上传漏洞**。
## 影响版本
- 所有版本 **≤ 1.1.32**
## 细节
漏洞出现在 `set_featured_image_from_external_url()` 函数中,该函数**缺少对上传文件类型的充分验证**,攻击者可以利用此漏洞上传任意文件。
## 影响
在以下情况下,该漏洞可被利用:
- **未认证用户有权限添加特色图像**
- **工作流触发器已被创建**
攻击者通过上传恶意文件,可能实现 **远程代码执行 (RCE)**。这可能导致攻击者完全控制受感染的 WordPress 站点。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-11499 的公开POC
三、漏洞 CVE-2025-11499 的情报信息
-
标题: Tablesome Table – Contact Form DB – WPForms, CF7, Gravity, Forminator, Fluent <= 1.1.32 - Unauthenticated Arbitrary File Upload -- 🔗来源链接
标签:
神龙速读
-
标题: wp-post-creation.php in tablesome/trunk/workflow-library/actions – WordPress Plugin Repository -- 🔗来源链接
标签:
神龙速读
-
标题: Changeset 3386484 for tablesome/trunk/workflow-library/actions/wp-post-creation.php – WordPress Plugin Repository -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-11499
四、漏洞 CVE-2025-11499 的评论
暂无评论