Plateforme
wordpress
Composant
drag-and-drop-multiple-file-upload-contact-form-7
Corrigé dans
1.3.9
Le plugin Drag and Drop Multiple File Upload pour WordPress présente une vulnérabilité d'accès arbitraire de fichiers. Cette faille, due à une validation insuffisante des chemins de fichiers, permet à des attaquants non authentifiés de supprimer des fichiers sur le serveur. Les versions concernées sont celles comprises entre 0 et 1.3.8.7 inclus. La correction est disponible via une mise à jour du plugin.
Cette vulnérabilité permet à un attaquant non authentifié de manipuler les chemins de fichiers uploadés, en utilisant des séquences comme ../../../wp-config.php. Si le plugin Flamingo est également installé et activé, un administrateur peut, sans le savoir, supprimer des fichiers critiques du système, tels que wp-config.php. La suppression de ce fichier peut entraîner une exécution de code à distance (RCE), donnant à l'attaquant un contrôle total sur le serveur WordPress. La gravité de l'impact est élevée, car elle affecte la confidentialité, l'intégrité et la disponibilité du site web.
Cette vulnérabilité a été publiée le 28 mars 2025. Elle nécessite l'installation et l'activation du plugin Flamingo pour être exploitée avec succès. Bien qu'aucun exploit public n'ait été largement diffusé à ce jour, la simplicité de l'exploitation rend cette vulnérabilité potentiellement dangereuse. La présence de Flamingo augmente la probabilité d'exploitation.
WordPress websites utilizing the Drag and Drop Multiple File Upload for Contact Form 7 plugin, particularly those with the Flamingo plugin installed, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and server configurations. Legacy WordPress installations running older versions of the plugin are also at heightened risk.
• wordpress / composer / npm:
grep -r 'dnd_remove_uploaded_files' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-contact-form-7/• wordpress / composer / npm:
wp plugin list --status=active | grep 'drag-and-drop-multiple-file-upload-for-contact-form-7'• wordpress / composer / npm:
wp plugin list --status=active | grep 'flamingo'• generic web: Check WordPress plugin directory for updates and security advisories related to 'Drag and Drop Multiple File Upload for Contact Form 7'.
disclosure
Statut de l'Exploit
EPSS
2.88% (percentile 86%)
CISA SSVC
Vecteur CVSS
La mesure principale pour atténuer cette vulnérabilité est de mettre à jour le plugin Drag and Drop Multiple File Upload vers la dernière version disponible. En attendant la mise à jour, il est possible de désactiver temporairement le plugin ou de restreindre les permissions de l'utilisateur qui peut supprimer les fichiers uploadés. Il est également recommandé de surveiller les journaux du serveur pour détecter toute activité suspecte liée à la manipulation de fichiers. Après la mise à jour, vérifiez que la suppression de fichiers est correctement validée et que les chemins d'accès sont correctement filtrés.
Actualice el plugin Drag and Drop Multiple File Upload for Contact Form 7 a la última versión disponible para corregir la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización aborda la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad completa antes de actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-2328 is a HIGH severity vulnerability allowing attackers to delete files on WordPress sites using the Drag and Drop Multiple File Upload plugin, potentially leading to remote code execution if Flamingo is also installed.
You are affected if your WordPress site uses the Drag and Drop Multiple File Upload plugin version 0–1.3.8.7 and potentially the Flamingo plugin.
Upgrade the Drag and Drop Multiple File Upload plugin to the latest available version. Monitor the vendor's website for the patched version.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern and potential target.
Check the official Drag and Drop Multiple File Upload plugin website and WordPress plugin directory for security advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.