HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder Unauthenticated Arbitrary File Upload Vulnerability

漏洞信息

漏洞名称： HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder Unauthenticated Arbitrary File Upload Vulnerability

漏洞编号：

CVE： CVE-2025-7340

漏洞类型： 文件上传

漏洞等级： 高危

漏洞描述： 受影响的产品是HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder，这是一个用于WordPress的插件，旨在为用户提供创建联系表单的功能，支持Elementor页面构建器和Gutenberg块编辑器。该插件广泛应用于需要快速构建联系表单的WordPress网站中。漏洞类型为未授权的任意文件上传，这意味着攻击者可以在不需要任何身份验证的情况下，向受影响的网站上传任意文件。这种漏洞的根源在于插件未能对上传的文件类型和内容进行严格的验证和限制。这种漏洞的影响极为严重，因为它允许攻击者上传恶意文件，如PHP脚本，从而可能导致远程代码执行、网站被完全控制、数据泄露或其他恶意活动。由于漏洞利用不需要身份验证，因此可以被自动化工具大规模利用，增加了攻击的风险和范围。

产品名称： HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder

影响版本： <= 2.2.1

来源： https://github.com/Nxploited/CVE-2025-7340

类型： CVE-2025:github search