Plataforma
wordpress
Componente
drag-and-drop-multiple-file-upload-for-woocommerce
Corregido en
1.1.5
La vulnerabilidad CVE-2025-2941 afecta al plugin Drag and Drop Multiple File Upload para WordPress, permitiendo un Acceso Arbitrario de Archivos. Esta falla se debe a una validación insuficiente de la ruta del archivo a través del parámetro wc-upload-file[], lo que permite a atacantes no autenticados mover archivos en el servidor. Las versiones afectadas son desde 0.0.0 hasta la 1.1.4. Se recomienda actualizar el plugin a la versión corregida para mitigar el riesgo.
La gravedad de esta vulnerabilidad radica en su potencial para la ejecución remota de código. Un atacante puede aprovechar esta falla para mover archivos críticos del sistema, como el archivo wp-config.php, que contiene información sensible de la configuración de WordPress. Al modificar este archivo, el atacante podría obtener control total sobre el sitio web, incluyendo la capacidad de ejecutar código malicioso, acceder a bases de datos y comprometer la confidencialidad e integridad de los datos. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente su alcance y potencial impacto.
La vulnerabilidad CVE-2025-2941 fue publicada el 5 de abril de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. La falta de autenticación necesaria para la explotación la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
WordPress websites utilizing the Drag and Drop Multiple File Upload for WooCommerce plugin, particularly those running vulnerable versions (0.0.0–1.1.4), are at significant risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'wc-upload-file[]' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-woocommerce/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/drag-and-drop-multiple-file-upload-for-woocommerce/ | grep Server• wordpress / composer / npm:
wp plugin list --status=all | grep 'drag-and-drop-multiple-file-upload-for-woocommerce'disclosure
Estado del Exploit
EPSS
2.94% (86% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2941 es actualizar el plugin Drag and Drop Multiple File Upload para WooCommerce a la última versión disponible, que incluye la corrección de la validación de la ruta del archivo. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida adicional, se recomienda implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en el parámetro wc-upload-file[]. Monitorear los logs del servidor en busca de intentos de acceso a archivos no autorizados también es crucial.
Actualice el plugin Drag and Drop Multiple File Upload for WooCommerce a la última versión disponible para solucionar la vulnerabilidad de movimiento arbitrario de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes no autenticados manipulen archivos en el servidor. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2941 es una vulnerabilidad de Acceso Arbitrario de Archivos en el plugin Drag and Drop Multiple File Upload para WooCommerce, permitiendo a atacantes mover archivos en el servidor.
Si está utilizando el plugin Drag and Drop Multiple File Upload para WooCommerce en versiones 0.0.0 hasta 1.1.4, es vulnerable a esta falla.
Actualice el plugin Drag and Drop Multiple File Upload para WooCommerce a la última versión disponible para corregir la validación de la ruta del archivo.
Aunque no se ha confirmado la explotación activa, la alta puntuación CVSS indica un riesgo significativo y se recomienda aplicar las mitigaciones.
Consulte el sitio web del plugin o el repositorio de WordPress para obtener la información más reciente sobre la vulnerabilidad y la versión corregida.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.