Platform
wordpress
Component
drag-and-drop-multiple-file-upload-contact-form-7
Opgelost in
1.3.9
CVE-2025-2328 beschrijft een Arbitrary File Access kwetsbaarheid in de Drag and Drop Multiple File Upload plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige bestandspaden toe te voegen aan geüploade bestanden, wat in combinatie met de Flamingo plugin kan leiden tot remote code execution. De kwetsbaarheid treft versies van de plugin van 0 tot en met 1.3.8.7. Op 28 maart 2025 is deze kwetsbaarheid openbaar gemaakt.
Een succesvolle exploitatie van CVE-2025-2328 kan leiden tot het compromitteren van de WordPress-installatie. Aanvallers kunnen willekeurige bestanden op de server aanpassen of verwijderen, inclusief kritieke configuratiebestanden zoals wp-config.php. Dit kan resulteren in het verkrijgen van controle over de server, het stelen van gevoelige gegevens, het uitvoeren van kwaadaardige code en het verder verspreiden van de aanval naar andere systemen binnen het netwerk. De vereiste voor de Flamingo plugin maakt de aanval afhankelijk van de aanwezigheid van deze plugin, maar vergroot de impact aanzienlijk als deze geïnstalleerd is.
Deze kwetsbaarheid is openbaar gemaakt op 28 maart 2025. Er zijn momenteel geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar de mogelijkheid tot remote code execution maakt het een aantrekkelijk doelwit. De vereiste voor de Flamingo plugin beperkt de potentiële impact, maar de kwetsbaarheid is nog steeds significant. Er zijn momenteel geen public proof-of-concept exploits beschikbaar.
WordPress websites utilizing the Drag and Drop Multiple File Upload for Contact Form 7 plugin, particularly those with the Flamingo plugin installed, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and server configurations. Legacy WordPress installations running older versions of the plugin are also at heightened risk.
• wordpress / composer / npm:
grep -r 'dnd_remove_uploaded_files' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-contact-form-7/• wordpress / composer / npm:
wp plugin list --status=active | grep 'drag-and-drop-multiple-file-upload-for-contact-form-7'• wordpress / composer / npm:
wp plugin list --status=active | grep 'flamingo'• generic web: Check WordPress plugin directory for updates and security advisories related to 'Drag and Drop Multiple File Upload for Contact Form 7'.
disclosure
Exploit Status
EPSS
2.88% (86% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Drag and Drop Multiple File Upload plugin naar een beveiligde versie zodra deze beschikbaar is. Indien een upgrade momenteel niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin. Als Flamingo ook geïnstalleerd is, overweeg dan deze ook uit te schakelen. Controleer de WordPress-logbestanden op verdachte activiteiten, zoals pogingen tot bestandstoegang of -wijziging. Implementeer een Web Application Firewall (WAF) met regels om verdachte bestandspaden te blokkeren.
Actualice el plugin Drag and Drop Multiple File Upload for Contact Form 7 a la última versión disponible para corregir la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización aborda la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad completa antes de actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-2328 is a HIGH severity vulnerability allowing attackers to delete files on WordPress sites using the Drag and Drop Multiple File Upload plugin, potentially leading to remote code execution if Flamingo is also installed.
You are affected if your WordPress site uses the Drag and Drop Multiple File Upload plugin version 0–1.3.8.7 and potentially the Flamingo plugin.
Upgrade the Drag and Drop Multiple File Upload plugin to the latest available version. Monitor the vendor's website for the patched version.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern and potential target.
Check the official Drag and Drop Multiple File Upload plugin website and WordPress plugin directory for security advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.