Luka wtyczki Drag and Drop Multiple File Upload dla Contact Form 7 umożliwia zdalne wykonanie kodu

Wtyczka Drag and Drop Multiple File Upload dla Contact Form 7 ma krytyczną lukę pozwalającą na przesyłanie złośliwych plików i zdalne wykonanie kodu. Aktualizuj natychmiast.
CVE-2026-5718CVSS 8.1Web

Luka wtyczki Drag and Drop Multiple File Upload dla Contact Form 7 umożliwia zdalne wykonanie kodu

Wtyczka Drag and Drop Multiple File Upload dla Contact Form 7 ma krytyczną lukę pozwalającą na przesyłanie złośliwych plików i zdalne wykonanie kodu. Aktualizuj natychmiast.

CVSS
8.1 HIGH
EPSS
89.68%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Drag and Drop Multiple File Upload dla Contact Form 7 w WordPress do wersji 1.3.9.7 zawiera lukę umożliwiającą nieautoryzowanym atakującym przesyłanie dowolnych plików, w tym PHP, na serwer. Problem wynika z niewystarczającej walidacji typów plików i obejścia funkcji sanitizującej nazwy plików z nie-ASCII znakami.

Wpływ biznesowy

Luka o wysokim poziomie zagrożenia (CVSS 8.1) pozwala na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem hostingowym WordPress. Operatorzy powinni traktować tę podatność priorytetowo, gdyż może ona skutkować poważnymi naruszeniami bezpieczeństwa i utratą danych.

Rekomendowane działania administratora

Zaleca się jak najszybsze zaktualizowanie wtyczki do najnowszej wersji, w której luka została częściowo załatana. Dodatkowo warto przejrzeć konfiguracje listy blokowanych typów plików, ograniczyć możliwość przesyłania plików do zaufanych użytkowników oraz monitorować logi serwera pod kątem podejrzanych aktywności. W przypadku braku dostępnej poprawki należy rozważyć tymczasowe wyłączenie funkcji przesyłania plików.

Źródła