AIO Forms <= 1.3.15 - Authenticated (Admin+) Arbitrary File Upload via Zip Import 漏洞信息(CVE-2025-11889)

一、漏洞 CVE-2025-11889 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # AIO Forms <=1.3.15 管理员文件上传漏洞

## 概述

AIO Forms – Craft Complex Forms Easily 是一款用于 WordPress 的表单构建插件。该插件在版本 1.3.15 及之前版本中存在任意文件上传漏洞。

## 影响版本

所有 ≤ 1.3.15 的版本均受影响。

## 细节

插件的导入功能中缺乏文件类型验证，导致攻击者可以上传任意文件。

## 影响

具有管理员（Administrator）及以上权限的认证攻击者可利用该漏洞在目标站点服务器上上传恶意文件，可能导致**远程代码执行（RCE）**。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

AIO Forms <= 1.3.15 - Authenticated (Admin+) Arbitrary File Upload via Zip Import

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The AIO Forms – Craft Complex Forms Easily plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the import functionality in all versions up to, and including, 1.3.15. This makes it possible for authenticated attackers, with Administrator-level access and above, to upload arbitrary files on the affected site's server which may make remote code execution possible.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

危险类型文件的不加限制上传

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-11889 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-11889 的情报信息

标题： AIO Forms <= 1.3.15 - Authenticated (Admin+) Arbitrary File Upload via Zip Import -- 🔗来源链接

标签：
神龙速读
标题： AIO Forms – Craft Complex Forms Easily – WordPress plugin | WordPress.org -- 🔗来源链接

标签：
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-11889

四、漏洞 CVE-2025-11889 的评论

暂无评论

一、 漏洞 CVE-2025-11889 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-11889 的公开POC

三、漏洞 CVE-2025-11889 的情报信息

四、漏洞 CVE-2025-11889 的评论

发表评论

一、漏洞 CVE-2025-11889 基础信息