支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-12718 基础信息
漏洞信息
                                        # Quick Contact Form 8.2.6 未授权邮件中继漏洞

## 概述
WordPress Quick Contact Form 插件中存在开放邮件中继(Open Mail Relay)漏洞。

## 影响版本
所有版本至 8.2.6(含)。

## 细节
漏洞源于 `qcf_validate_form` AJAX 接口未对用户可控参数进行校验,允许设置邮件的 'from' 地址。攻击者可利用该接口在未经身份验证的情况下,通过服务器向任意收件人发送邮件。

## 影响
未认证攻击者可滥用该漏洞发送伪造邮件,内容仅限于联系表单提交的数据,但仍可用于钓鱼或垃圾邮件传播。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Quick Contact Form <= 8.2.6 - Unauthenticated Open Mail Relay
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Quick Contact Form plugin for WordPress is vulnerable to Open Mail Relay in all versions up to, and including, 8.2.6. This is due to the 'qcf_validate_form' AJAX endpoint allowing a user controlled parameter to set the 'from' email address. This makes it possible for unauthenticated attackers to send emails to arbitrary recipients utilizing the server. The information is limited to the contact form submission details.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-12718 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-12718 的情报信息

  • 标题: ERROR: The request could not be satisfied -- 🔗来源链接

    标签:

    神龙速读:
                                            - **Error Code:** 403 Error
- **Error Message:** The request could not be satisfied.
- **Issue Description:** Request blocked. We can't connect to the server for this app or website at this time. There might be too much traffic or a configuration error. Try again later, or contact the app or website owner.
- **Potential Cause:** Too much traffic or configuration error.
- **Suggestion:** Review the CloudFront documentation for troubleshooting.
- **Generated by:** CloudFront
- **Request ID:** G9-x20Ttd-xZNP4a3SbqTxKsidiwxoISMaLFhi982VogPHYnAuZB1A==
    ERROR: The request could not be satisfied

  • 标题: Changeset 3433286 for quick-contact-form – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键漏洞信息

- **更改集**: 3433286
- **插件**: quick-contact-form
- **版本**: 8.2.7
- **时间**: 2026年1月6日 07:07:37 AM
- **更新**: 
  - **legacy/functions/qcf_process_form.php**: 修改了邮件处理逻辑,增加了`sanitize_email()`函数
  - **quick-contact-form.php**: 版本更新,作者信息更新
  - **readme.txt**: 版本更新,增强安全性

### 潜在安全改进
- `sanitize_email()`的加入可能修复了之前的邮件注入或XSS漏洞。
    Changeset 3433286 for quick-contact-form – WordPress Plugin Repository
  • https://nvd.nist.gov/vuln/detail/CVE-2025-12718
四、漏洞 CVE-2025-12718 的评论

暂无评论

发表评论