Уразливість завантаження файлів у плагіні Drag and Drop Multiple File Upload для Contact Form 7 у WordPress

Виявлено уразливість завантаження довільних файлів у плагіні Drag and Drop Multiple File Upload для Contact Form 7 у WordPress, що може призвести до віддаленого виконання коду.
CVE-2026-5718CVSS 8.1Web

Уразливість завантаження файлів у плагіні Drag and Drop Multiple File Upload для Contact Form 7 у WordPress

Виявлено уразливість завантаження довільних файлів у плагіні Drag and Drop Multiple File Upload для Contact Form 7 у WordPress, що може призвести до віддаленого виконання коду.

CVSS
8.1 HIGH
EPSS
89.68%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Плагін Drag and Drop Multiple File Upload для Contact Form 7 у WordPress має уразливість завантаження довільних файлів у версіях до 1.3.9.7 включно через недостатню перевірку типів файлів. Це дозволяє неавторизованим зловмисникам завантажувати шкідливі файли, наприклад PHP, що може призвести до віддаленого виконання коду.

Бізнес-вплив

Уразливість створює високий ризик компрометації веб-сервера, оскільки зловмисники можуть завантажувати та виконувати довільний код. Це може призвести до втрати контролю над інфраструктурою, витоку даних або порушення роботи веб-сайтів, що використовують цей плагін.

Рекомендовані дії адміністратора

Рекомендується перевірити наявність оновлень плагіна від розробника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до функції завантаження файлів, провести аудит логів на наявність підозрілої активності та мінімізувати експозицію веб-сервера в інтернеті. Пріоритезуйте виправлення цієї уразливості через її високий рівень ризику.

Джерела