一、概要

近日华为云监测到某研究者发布WordPress远程代码执行漏洞POC，当用户使用Contact Form 7插件和特定版本的Drag and Drop File Upload Contact Form插件时，可导致远程代码执行漏洞。

华为云提醒使用WordPress的用户及时安排自检并做好安全加固。

详情请参考链接：

https://wordpress.org/plugins/drag-and-drop-multiple-file-upload-contact-form-7/#developers

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

此漏洞影响所有安装WordPress并且同时启用Contact Form 7插件和Drag and Drop File Upload Contact Form插件，并且Drag and Drop File Upload Contact Form插件版本小于等于1.3.3.2的用户。

四、漏洞处置

目前，官方已发布新的插件版本修复了该漏洞，请受影响的用户升级到安全版本（1.3.3或更高版本）：

最新版本下载地址：https://downloads.wordpress.org/plugin/drag-and-drop-multiple-file-upload-contact-form-7.zip

华为云WAF支持PHP文件上传检测，建议使用WordPress的华为云WAF用户开启Web基础防护中Webshell检测，设置拦截模式，并将设置防护等级为严格。

注：修复漏洞前请将资料备份，并进行充分测试。