CVE-2025-14344: CWE-22 Gravity Forms的Multi Uploader插件中的路径遍历漏洞

严重性：严重 类型：漏洞 CVE：CVE-2025-14344

WordPress的Multi Uploader for Gravity Forms插件由于在“plupload_ajax_delete_file”函数中存在文件路径验证不足，容易受到任意文件删除的攻击，该问题影响所有版本（包括1.1.7）。这使得未经身份验证的攻击者有可能删除服务器上的任意文件。

技术摘要

CVE-2025-14344是一个被归类为CWE-22（路径名限制不当，通常称为路径遍历）的关键安全漏洞，存在于由sh1zen开发的WordPress插件Multi Uploader for Gravity Forms中。该缺陷存在于“plupload_ajax_delete_file”函数中，该函数在执行删除操作前未能正确验证文件路径。这种验证的缺失使得未经身份验证的攻击者能够制作恶意请求，遍历目录并删除托管该插件的Web服务器上的任意文件。

由于该漏洞影响所有版本（包括1.1.7），任何未打补丁的安装都容易受到攻击。CVSS v3.1基础评分为9.8分，反映了此问题的严重性：攻击向量基于网络，无需权限或用户交互，并影响机密性、完整性和可用性。该漏洞可能导致删除关键的系统或应用程序文件，可能引发拒绝服务、数据丢失，或通过移除安全控制或日志来促成进一步攻击。

尽管目前尚未报告公开的利用程序，但利用的简单性以及该插件在WordPress环境中的广泛使用使其成为一个高风险威胁。在发布时官方补丁的缺失需要立即采取防御措施以降低风险。

潜在影响

对于欧洲组织而言，此漏洞对运行带有受影响插件的WordPress站点的Web服务器的完整性和可用性构成严重风险。成功利用可导致任意文件删除，从而造成数据丢失、服务中断以及敏感信息可能被泄露。依赖Gravity Forms处理关键业务流程的组织可能会遇到运营中断。此外，删除安全或日志文件可能会阻碍事件响应和取证调查。

对于拥有面向公众的WordPress安装的实体（包括电子商务、政府门户网站和服务提供商），此威胁尤为严重。无需身份验证即可轻松利用增加了攻击面，可能导致广泛的自动化攻击。这可能带来声誉损害、监管不合规（例如，如果个人数据受到影响，则违反GDPR）和经济损失。鉴于该插件已集成到许多欧洲网站中，如果不及时解决，影响可能是广泛而严重的。

缓解建议

1. 立即审核所有WordPress安装，以识别是否存在Multi Uploader for Gravity Forms插件，并验证正在使用的版本。
2. 一旦供应商发布任何可用的补丁或更新，立即应用。在缺乏官方补丁的情况下，考虑暂时禁用或移除该插件以消除攻击向量。
3. 实施严格的文件系统权限，以限制Web服务器删除或修改指定上传目录之外的关键文件的能力。
4. 部署并配置Web应用程序防火墙（WAF），以检测和阻止针对易受攻击功能的可疑请求，尤其是那些尝试路径遍历序列的请求。
5. 监控服务器日志，查找与文件操作相关的异常删除请求或错误。
6. 采用入侵检测系统来预警异常活动。
7. 对站点管理员进行有关风险的教育，并确保安全的插件管理实践。
8. 考虑在容器化或沙盒环境中隔离WordPress实例，以限制潜在的损害。
9. 定期备份网站数据和配置，以便在发生文件删除时能够快速恢复。

受影响国家

英国、德国、法国、荷兰、意大利、西班牙、波兰、瑞典

来源： CVE Database V5 发布日期： 2025年12月12日 星期五