Plataforma
wordpress
Componente
drag-and-drop-multiple-file-upload-contact-form-7
Corrigido em
1.3.10
1.3.9.7
Uma vulnerabilidade de Path Traversal foi descoberta no plugin Drag and Drop Multiple File Upload para WordPress. Essa falha permite que um atacante realize a leitura arbitrária de arquivos no servidor, explorando a falta de validação dos nomes de arquivos enviados pelos usuários. A vulnerabilidade afeta versões do plugin até a 1.3.9.6, e a correção foi disponibilizada na versão 1.3.9.7.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse arquivos sensíveis no servidor WordPress, como arquivos de configuração, chaves de API e dados do banco de dados. Isso pode levar à divulgação de informações confidenciais, comprometimento do sistema e potencial execução de código malicioso. Um atacante poderia, por exemplo, ler o arquivo wp-config.php, expondo as credenciais do banco de dados. A falta de validação do nome do arquivo permite que um atacante manipule o caminho do arquivo, acessando arquivos fora do diretório de uploads pretendido.
A vulnerabilidade foi divulgada em 2026-04-17. Não há relatos públicos de exploração ativa no momento. A ausência de um KEV listing sugere um baixo risco de exploração em massa, mas a facilidade de exploração e o potencial impacto justificam a aplicação imediata da correção.
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Drag and Drop Multiple File Upload para a versão 1.3.9.7 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads através de regras de firewall ou WAF. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório de uploads. Implementar uma validação robusta do nome do arquivo no lado do servidor, garantindo que os nomes de arquivos sejam seguros e não permitam a manipulação de caminhos, é crucial para prevenir futuras vulnerabilidades semelhantes.
Atualize para a versão 1.3.9.7, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Path Traversal is a security vulnerability that allows an attacker to access files and directories on a web server that they shouldn't have access to. It's achieved by manipulating file paths in HTTP requests.
If you are using version 1.3.9.6 or earlier of the 'Drag and Drop Multiple File Upload for Contact Form 7' plugin, you are vulnerable. Updating is the only way to fix the vulnerability.
If you can't update immediately, consider temporarily disabling the plugin or implementing firewall rules to block suspicious requests.
There are web vulnerability scanners that can detect this vulnerability. You can also perform manual testing by submitting contact forms with manipulated filenames.
Review all Contact Form 7 plugins you use to ensure they are updated and do not have known vulnerabilities.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.