文章总结： SupsysticContactForm插件1.7.36及更早版本存在服务器端模板注入漏洞（CVE-2026-4257），攻击者可通过cfsPreFill功能注入Twig表达式实现远程代码执行。该漏洞CVSS评分9.8，影响约596个资产，建议用户立即升级插件或采取防护措施。 综合评分： 72 文章分类： 漏洞分析,漏洞预警,WEB安全,解决方案,安全工具

【紧急】Supsystic Contact Form 插件 CVE-2026-4257 漏洞：未经身份验证即可 RCE！

原创

爱坤 爱坤

爱坤sec

2026年5月12日 02:30 重庆

在小说阅读器读本章

去阅读

一 漏洞描述

WordPress 的 Supsystic Contact Form 插件存在服务器端模板注入 (SSTI) 漏洞，可导致远程代码执行 (RCE)，该漏洞存在于 1.7.36 及更早版本中。这是由于该插件使用了Twig_Loader_String未沙箱化的 Twig 模板引擎，并且其cfsPreFill预填充功能允许未经身份验证的用户通过 GET 参数将任意 Twig 表达式注入表单字段值。这使得未经身份验证的攻击者可以利用 Twig 注册任意registerUndefinedFilterCallback()PHP 回调函数的方法，在服务器上执行任意 PHP 函数和操作系统命令。

CVSS 评分 9.8

二 影响版本

<= 1.7.36

三 搜索语法

body="/wp-content/plugins/contact-form-by-supsystic/"

四 影响范围

大约596个资产

五 工具获取

https://github.com/shootcannon/CVE-2026-4257/blob/main/cve-2026-4257.py

【严重声明】本文所涉及的工具、思路和操作手法仅用于本地安全测试以及教育目的，禁止将其用于非法入侵或对他人的系统进行攻击以及盈利，一切后果由操作者自行承担！！！下载后的24小时请删除。

更多精彩文章与工具分享 欢迎关注

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱坤sec 爱坤 爱坤《【紧急】Supsystic Contact Form 插件 CVE-2026-4257 漏洞：未经身份验证即可 RCE！》