Escanear grátis
HIGHCVE-2025-2328CVSS 8.8

Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.8.7 - Exclusão Arbitrária de Arquivos Não Autenticada

Plataforma

wordpress

Componente

drag-and-drop-multiple-file-upload-contact-form-7

Corrigido em

1.3.9

AI Confidence: highNVDEPSS 2.9%Revisado: mai. de 2026
Ver no NVD
Salvar

A vulnerabilidade CVE-2025-2328 afeta o plugin Drag and Drop Multiple File Upload para WordPress, permitindo acesso arbitrário de arquivos. Devido à falta de validação adequada do caminho do arquivo, um atacante não autenticado pode manipular o processo de exclusão de arquivos, potencialmente comprometendo a integridade do sistema. As versões afetadas são as que variam de 0 até 1.3.8.7. A correção oficial está pendente, mas existem medidas de mitigação disponíveis.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Impacto e Cenários de Ataque

Um atacante pode explorar esta vulnerabilidade para deletar arquivos críticos no servidor WordPress, como o arquivo wp-config.php. A exploração bem-sucedida requer a instalação e ativação do plugin Flamingo. A deleção do wp-config.php pode resultar na perda de dados de configuração, comprometimento da base de dados e, em última análise, execução remota de código, permitindo ao atacante controlar o servidor. A combinação da falta de validação do caminho do arquivo e a dependência do plugin Flamingo amplifica significativamente o risco de comprometimento.

Contexto de Exploração

A vulnerabilidade foi divulgada em 28 de março de 2025. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) publicamente disponível, mas a natureza da vulnerabilidade sugere que a exploração é relativamente simples, aumentando o risco de exploração em breve. É crucial implementar as medidas de mitigação o mais rápido possível.

Quem Está em Riscotraduzindo…

WordPress websites utilizing the Drag and Drop Multiple File Upload for Contact Form 7 plugin, particularly those with the Flamingo plugin installed, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and server configurations. Legacy WordPress installations running older versions of the plugin are also at heightened risk.

Passos de Detecçãotraduzindo…

• wordpress / composer / npm:

grep -r 'dnd_remove_uploaded_files' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-contact-form-7/

• wordpress / composer / npm:

wp plugin list --status=active | grep 'drag-and-drop-multiple-file-upload-for-contact-form-7'

• wordpress / composer / npm:

wp plugin list --status=active | grep 'flamingo'

• generic web: Check WordPress plugin directory for updates and security advisories related to 'Drag and Drop Multiple File Upload for Contact Form 7'.

Linha do Tempo do Ataque

  1. Disclosure

    disclosure

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

EPSS

2.88% (percentil 86%)

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicototal

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionRequiredSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componentedrag-and-drop-multiple-file-upload-contact-form-7
Fornecedorglenwpcoder
Faixa afetadaCorrigido em
0 – 1.3.8.71.3.9

Informações do pacote

Instalações ativas
60KConhecido
Avaliação do plugin
4.8
Requer WordPress
3.0.1+
Compatível até
6.9.4
Requer PHP
5.2.4+
Site

Classificação de Fraqueza (CWE)

CWE-22

Linha do tempo

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS atualizado
Sem correção — 422 dias desde a divulgação

Mitigação e Soluções Alternativas

Como a correção oficial ainda não foi lançada, a mitigação imediata envolve desativar o plugin Drag and Drop Multiple File Upload até que uma versão corrigida esteja disponível. Alternativamente, se a desativação não for possível, considere restringir as permissões de escrita no diretório de uploads do WordPress para impedir a deleção de arquivos por usuários não autorizados. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações maliciosas que tentam manipular o caminho do arquivo também pode ajudar. Monitore os logs do servidor em busca de tentativas de acesso ou exclusão de arquivos suspeitos.

Como corrigirtraduzindo…

Actualice el plugin Drag and Drop Multiple File Upload for Contact Form 7 a la última versión disponible para corregir la vulnerabilidad de eliminación arbitraria de archivos.  Esta actualización aborda la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad completa antes de actualizar.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentestraduzindo…

What is CVE-2025-2328 — Arbitrary File Access in Drag and Drop Multiple File Upload?

CVE-2025-2328 is a HIGH severity vulnerability allowing attackers to delete files on WordPress sites using the Drag and Drop Multiple File Upload plugin, potentially leading to remote code execution if Flamingo is also installed.

Am I affected by CVE-2025-2328 in Drag and Drop Multiple File Upload?

You are affected if your WordPress site uses the Drag and Drop Multiple File Upload plugin version 0–1.3.8.7 and potentially the Flamingo plugin.

How do I fix CVE-2025-2328 in Drag and Drop Multiple File Upload?

Upgrade the Drag and Drop Multiple File Upload plugin to the latest available version. Monitor the vendor's website for the patched version.

Is CVE-2025-2328 being actively exploited?

While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority concern and potential target.

Where can I find the official Drag and Drop Multiple File Upload advisory for CVE-2025-2328?

Check the official Drag and Drop Multiple File Upload plugin website and WordPress plugin directory for security advisories.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs