Plataforma
wordpress
Componente
drag-and-drop-multiple-file-upload-contact-form-7
Corregido en
1.3.9
El plugin Drag and Drop Multiple File Upload para WordPress presenta una vulnerabilidad de Acceso Arbitrario de Archivos. Esta falla permite a atacantes no autenticados manipular rutas de archivos, lo que puede resultar en la eliminación de archivos sensibles en el servidor. Las versiones afectadas son desde la 0 hasta la 1.3.8.7. Se recomienda actualizar el plugin a una versión corregida o implementar medidas de mitigación alternativas.
La vulnerabilidad de Acceso Arbitrario de Archivos en Drag and Drop Multiple File Upload permite a un atacante, sin necesidad de autenticación, eliminar archivos en el servidor. La explotación exitosa requiere la instalación y activación del plugin Flamingo. Al manipular las rutas de los archivos subidos, un atacante podría eliminar archivos de configuración críticos como wp-config.php, comprometiendo la seguridad del sitio web. La eliminación de wp-config.php podría permitir la ejecución remota de código, otorgando al atacante control total sobre el servidor WordPress. Esta vulnerabilidad es particularmente grave debido a su facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad del sitio web.
Esta vulnerabilidad fue publicada el 28 de marzo de 2025. Se desconoce si ha sido activamente explotada en la naturaleza, pero la facilidad de explotación y el potencial impacto la convierten en un objetivo atractivo para los atacantes. La necesidad de Flamingo para la explotación podría limitar su alcance, pero no elimina el riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación activa.
WordPress websites utilizing the Drag and Drop Multiple File Upload for Contact Form 7 plugin, particularly those with the Flamingo plugin installed, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and server configurations. Legacy WordPress installations running older versions of the plugin are also at heightened risk.
• wordpress / composer / npm:
grep -r 'dnd_remove_uploaded_files' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-contact-form-7/• wordpress / composer / npm:
wp plugin list --status=active | grep 'drag-and-drop-multiple-file-upload-for-contact-form-7'• wordpress / composer / npm:
wp plugin list --status=active | grep 'flamingo'• generic web: Check WordPress plugin directory for updates and security advisories related to 'Drag and Drop Multiple File Upload for Contact Form 7'.
disclosure
Estado del Exploit
EPSS
2.88% (86% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2328 es actualizar el plugin Drag and Drop Multiple File Upload a una versión corregida, una vez que esté disponible. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente el plugin. Como medida adicional, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten manipular las rutas de los archivos. Además, revise los logs del servidor en busca de actividad sospechosa relacionada con la manipulación de archivos. Una vez aplicada la actualización, verifique la integridad del sitio web y los archivos de configuración para confirmar que la vulnerabilidad ha sido resuelta.
Actualice el plugin Drag and Drop Multiple File Upload for Contact Form 7 a la última versión disponible para corregir la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización aborda la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad completa antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2328 is a HIGH severity vulnerability allowing attackers to delete files on WordPress sites using the Drag and Drop Multiple File Upload plugin, potentially leading to remote code execution if Flamingo is also installed.
You are affected if your WordPress site uses the Drag and Drop Multiple File Upload plugin version 0–1.3.8.7 and potentially the Flamingo plugin.
Upgrade the Drag and Drop Multiple File Upload plugin to the latest available version. Monitor the vendor's website for the patched version.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern and potential target.
Check the official Drag and Drop Multiple File Upload plugin website and WordPress plugin directory for security advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.