Plataforma
wordpress
Componente
drag-and-drop-multiple-file-upload-contact-form-7
Corrigido em
1.3.9
A vulnerabilidade CVE-2025-2328 afeta o plugin Drag and Drop Multiple File Upload para WordPress, permitindo acesso arbitrário de arquivos. Devido à falta de validação adequada do caminho do arquivo, um atacante não autenticado pode manipular o processo de exclusão de arquivos, potencialmente comprometendo a integridade do sistema. As versões afetadas são as que variam de 0 até 1.3.8.7. A correção oficial está pendente, mas existem medidas de mitigação disponíveis.
Um atacante pode explorar esta vulnerabilidade para deletar arquivos críticos no servidor WordPress, como o arquivo wp-config.php. A exploração bem-sucedida requer a instalação e ativação do plugin Flamingo. A deleção do wp-config.php pode resultar na perda de dados de configuração, comprometimento da base de dados e, em última análise, execução remota de código, permitindo ao atacante controlar o servidor. A combinação da falta de validação do caminho do arquivo e a dependência do plugin Flamingo amplifica significativamente o risco de comprometimento.
A vulnerabilidade foi divulgada em 28 de março de 2025. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) publicamente disponível, mas a natureza da vulnerabilidade sugere que a exploração é relativamente simples, aumentando o risco de exploração em breve. É crucial implementar as medidas de mitigação o mais rápido possível.
WordPress websites utilizing the Drag and Drop Multiple File Upload for Contact Form 7 plugin, particularly those with the Flamingo plugin installed, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and server configurations. Legacy WordPress installations running older versions of the plugin are also at heightened risk.
• wordpress / composer / npm:
grep -r 'dnd_remove_uploaded_files' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-contact-form-7/• wordpress / composer / npm:
wp plugin list --status=active | grep 'drag-and-drop-multiple-file-upload-for-contact-form-7'• wordpress / composer / npm:
wp plugin list --status=active | grep 'flamingo'• generic web: Check WordPress plugin directory for updates and security advisories related to 'Drag and Drop Multiple File Upload for Contact Form 7'.
disclosure
Status do Exploit
EPSS
2.88% (percentil 86%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não foi lançada, a mitigação imediata envolve desativar o plugin Drag and Drop Multiple File Upload até que uma versão corrigida esteja disponível. Alternativamente, se a desativação não for possível, considere restringir as permissões de escrita no diretório de uploads do WordPress para impedir a deleção de arquivos por usuários não autorizados. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações maliciosas que tentam manipular o caminho do arquivo também pode ajudar. Monitore os logs do servidor em busca de tentativas de acesso ou exclusão de arquivos suspeitos.
Actualice el plugin Drag and Drop Multiple File Upload for Contact Form 7 a la última versión disponible para corregir la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización aborda la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad completa antes de actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-2328 is a HIGH severity vulnerability allowing attackers to delete files on WordPress sites using the Drag and Drop Multiple File Upload plugin, potentially leading to remote code execution if Flamingo is also installed.
You are affected if your WordPress site uses the Drag and Drop Multiple File Upload plugin version 0–1.3.8.7 and potentially the Flamingo plugin.
Upgrade the Drag and Drop Multiple File Upload plugin to the latest available version. Monitor the vendor's website for the patched version.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern and potential target.
Check the official Drag and Drop Multiple File Upload plugin website and WordPress plugin directory for security advisories.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.