Plateforme
wordpress
Composant
drag-and-drop-multiple-file-upload-contact-form-7
Corrigé dans
1.3.10
1.3.9.7
Le plugin Drag and Drop Multiple File Upload pour WordPress est vulnérable à une faille de Traversal de Chemin (Path Traversal) permettant une lecture arbitraire de fichiers. Cette vulnérabilité, affectant les versions jusqu'à 1.3.9.6, est due à un manque de validation des noms de fichiers fournis par l'utilisateur. La mise à jour vers la version 1.3.9.7 corrige ce problème.
Un attaquant peut exploiter cette vulnérabilité pour lire des fichiers sensibles sur le serveur WordPress, tels que des fichiers de configuration, des clés API, ou même des données de base de données. L'attaquant pourrait potentiellement obtenir des informations confidentielles, compromettre le site web, ou même exécuter du code malveillant si des fichiers exécutables sont accessibles. Cette faille est particulièrement préoccupante car elle permet un accès direct aux fichiers du serveur via une requête HTTP, ce qui la rend facilement exploitable. L'absence de validation des noms de fichiers permet à l'attaquant de manipuler le chemin d'accès pour accéder à des fichiers en dehors du répertoire d'upload prévu.
Cette vulnérabilité a été publiée le 2026-04-17. Il n'y a pas d'indication d'exploitation active à ce jour. Bien qu'elle ne soit pas encore sur KEV, la nature de la vulnérabilité (Path Traversal) la rend potentiellement dangereuse et mérite une attention particulière. Des preuves de concept (PoC) pourraient être rapidement développées, augmentant le risque d'exploitation.
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Drag and Drop Multiple File Upload vers la version 1.3.9.7. En attendant, des mesures de mitigation temporaires peuvent être mises en place. Il est possible de restreindre les permissions du répertoire d'upload pour empêcher l'accès aux fichiers sensibles. De plus, un pare-feu applicatif web (WAF) peut être configuré pour bloquer les requêtes contenant des caractères de traversal de chemin (../). Il est également recommandé de désactiver temporairement le plugin si la mise à jour n'est pas possible immédiatement.
Mettre à jour vers la version 1.3.9.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Path Traversal is a security vulnerability that allows an attacker to access files and directories on a web server that they shouldn't have access to. It's achieved by manipulating file paths in HTTP requests.
If you are using version 1.3.9.6 or earlier of the 'Drag and Drop Multiple File Upload for Contact Form 7' plugin, you are vulnerable. Updating is the only way to fix the vulnerability.
If you can't update immediately, consider temporarily disabling the plugin or implementing firewall rules to block suspicious requests.
There are web vulnerability scanners that can detect this vulnerability. You can also perform manual testing by submitting contact forms with manipulated filenames.
Review all Contact Form 7 plugins you use to ensure they are updated and do not have known vulnerabilities.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.