CVE-2026-40769
Description
未经身份验证的任意文件删除漏洞影响Contact Form Extender for Divi插件<=1.0.6,攻击者可删除网站核心文件导致站点崩溃。
AI Insight
LLM-synthesized narrative grounded in this CVE's description and references.
未经身份验证的任意文件删除漏洞影响Contact Form Extender for Divi插件<=1.0.6,攻击者可删除网站核心文件导致站点崩溃。
Vulnerability
在WordPress插件Contact Form Extender for Divi – Save Entries, File Upload & Country Code Field(版本1.0.6及更早版本)中存在一个未经身份验证的任意文件删除漏洞。该漏洞允许攻击者无需任何认证即可通过特制请求删除服务器上的任意文件。[1]
Exploitation
攻击者不需要任何身份验证或用户交互,只需向受影响的网站发送精心构造的HTTP请求即可触发文件删除操作。由于漏洞在文件上传或处理逻辑中缺乏充分验证,攻击者可以利用路径遍历或其他技术指定要删除的目标文件。[1]
Impact
成功利用此漏洞的攻击者可删除网站上的任意文件。如果删除核心WordPress文件、配置或插件文件,可能导致网站完全瘫痪、无法访问或数据丢失。该漏洞已被标记为高风险,预期会被大规模利用。[1]
Mitigation
官方已发布修补版本1.0.7。强烈建议所有用户立即将插件更新至1.0.7或更高版本。对于无法立即更新的用户,可以考虑应用虚拟补丁(如Patchstack提供的规则)或联系托管服务提供商寻求临时缓解措施。[1]
AI Insight generated on Jun 15, 2026. Synthesized from this CVE's description and the cited reference URLs; citations are validated against the source bundle.
Affected products
1- Range: <=1.0.6
Patches
0No patches discovered yet.
Vulnerability mechanics
No source-code context for this CVE — mechanics is only generated when we can read the actual fix diff. Without that, the four sections (root cause, attack vector, affected code, fix) would be speculation rather than analysis.
References
1News mentions
0No linked articles in our index yet.