WordPress生态系再度爆发重大安全事件，热门表单插件SureForms被发现存在高风险，未经验证任意文件删除漏洞CVE-2025-6691，受影响网站数量超过20万。此漏洞允许攻击者在未登录的情况下，经由提交特定表单，借由网站管理员在后台删除该笔表单记录时，执行任意文件删除行为，可能造成网站被接管甚至远程程序代码执行风险。

SureForms插件在1.7.3及之前所有版本皆受到此漏洞影响。安全公司Wordfence的技术报告指出，黑客只需提交一分包含恶意文件路径的表单，就能滥用插件在文件路径验证上的漏洞。当网站管理员在后台删除该笔表单记录时，插件会根据表单数据中的路径自动删除对应文件。当攻击者在表单中设置欲删除的文件为wp-config.php等网站核心设置文件，网站将会被迫进入安装初始画面，甚至可能被攻击者重新连接到其控制的数据库，导致网站遭到完全接管。

研究人员表示，这类未经验证的任意文件删除漏洞具有极高风险，即使表面上需管理员配合进行数据删除，但在大量垃圾或钓鱼表单充斥的场景下，管理员很容易因误判而触发漏洞，实际攻击门槛并不高。这种攻击手法与今年稍早爆发的Formidable Forms插件漏洞高度类似，皆反映出表单类插件在文件处理与安全验证设计上的公用挑战。

SureForms插件开发团队在收到通报后，快速发布1.7.4版本修补，同时回溯修补旧有多个版本1.6.5、1.5.1、1.4.5等共计9个版本，并与WordPress官方团队合作进行强制更新推送，减少用户因未及时更新而暴露在攻击风险的机会。使用SureForms的网站管理者应立即检查插件版本，确保插件已升级至经修补的版本。