Escanear gratis
HIGHCVE-2025-2328CVSS 8.8

Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.8.7 - Eliminación Arbitraria de Archivos No Autenticada

Plataforma

wordpress

Componente

drag-and-drop-multiple-file-upload-contact-form-7

Corregido en

1.3.9

AI Confidence: highNVDEPSS 2.9%Revisado: may 2026
Ver en NVD
Guardar

El plugin Drag and Drop Multiple File Upload para WordPress presenta una vulnerabilidad de Acceso Arbitrario de Archivos. Esta falla permite a atacantes no autenticados manipular rutas de archivos, lo que puede resultar en la eliminación de archivos sensibles en el servidor. Las versiones afectadas son desde la 0 hasta la 1.3.8.7. Se recomienda actualizar el plugin a una versión corregida o implementar medidas de mitigación alternativas.

WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis

Impacto y Escenarios de Ataque

La vulnerabilidad de Acceso Arbitrario de Archivos en Drag and Drop Multiple File Upload permite a un atacante, sin necesidad de autenticación, eliminar archivos en el servidor. La explotación exitosa requiere la instalación y activación del plugin Flamingo. Al manipular las rutas de los archivos subidos, un atacante podría eliminar archivos de configuración críticos como wp-config.php, comprometiendo la seguridad del sitio web. La eliminación de wp-config.php podría permitir la ejecución remota de código, otorgando al atacante control total sobre el servidor WordPress. Esta vulnerabilidad es particularmente grave debido a su facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad del sitio web.

Contexto de Explotación

Esta vulnerabilidad fue publicada el 28 de marzo de 2025. Se desconoce si ha sido activamente explotada en la naturaleza, pero la facilidad de explotación y el potencial impacto la convierten en un objetivo atractivo para los atacantes. La necesidad de Flamingo para la explotación podría limitar su alcance, pero no elimina el riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación activa.

Quién Está en Riesgotraduciendo…

WordPress websites utilizing the Drag and Drop Multiple File Upload for Contact Form 7 plugin, particularly those with the Flamingo plugin installed, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and server configurations. Legacy WordPress installations running older versions of the plugin are also at heightened risk.

Pasos de Deteccióntraduciendo…

• wordpress / composer / npm:

grep -r 'dnd_remove_uploaded_files' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-contact-form-7/

• wordpress / composer / npm:

wp plugin list --status=active | grep 'drag-and-drop-multiple-file-upload-for-contact-form-7'

• wordpress / composer / npm:

wp plugin list --status=active | grep 'flamingo'

• generic web: Check WordPress plugin directory for updates and security advisories related to 'Drag and Drop Multiple File Upload for Contact Form 7'.

Cronología del Ataque

  1. Disclosure

    disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

2.88% (86% percentil)

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentedrag-and-drop-multiple-file-upload-contact-form-7
Proveedorglenwpcoder
Rango afectadoCorregido en
0 – 1.3.8.71.3.9

Información del paquete

Instalaciones activas
60KConocido
Valoración del plugin
4.8
Requiere WordPress
3.0.1+
Compatible hasta
6.9.4
Requiere PHP
5.2.4+
Sitio web

Clasificación de Debilidad (CWE)

CWE-22

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado
Sin parche — 422 días desde la divulgación

Mitigación y Workarounds

La mitigación principal para CVE-2025-2328 es actualizar el plugin Drag and Drop Multiple File Upload a una versión corregida, una vez que esté disponible. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente el plugin. Como medida adicional, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten manipular las rutas de los archivos. Además, revise los logs del servidor en busca de actividad sospechosa relacionada con la manipulación de archivos. Una vez aplicada la actualización, verifique la integridad del sitio web y los archivos de configuración para confirmar que la vulnerabilidad ha sido resuelta.

Cómo corregirlo

Actualice el plugin Drag and Drop Multiple File Upload for Contact Form 7 a la última versión disponible para corregir la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización aborda la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad completa antes de actualizar.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2025-2328 — Arbitrary File Access in Drag and Drop Multiple File Upload?

CVE-2025-2328 is a HIGH severity vulnerability allowing attackers to delete files on WordPress sites using the Drag and Drop Multiple File Upload plugin, potentially leading to remote code execution if Flamingo is also installed.

Am I affected by CVE-2025-2328 in Drag and Drop Multiple File Upload?

You are affected if your WordPress site uses the Drag and Drop Multiple File Upload plugin version 0–1.3.8.7 and potentially the Flamingo plugin.

How do I fix CVE-2025-2328 in Drag and Drop Multiple File Upload?

Upgrade the Drag and Drop Multiple File Upload plugin to the latest available version. Monitor the vendor's website for the patched version.

Is CVE-2025-2328 being actively exploited?

While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern and potential target.

Where can I find the official Drag and Drop Multiple File Upload advisory for CVE-2025-2328?

Check the official Drag and Drop Multiple File Upload plugin website and WordPress plugin directory for security advisories.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs