V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-2485
CVE
Высокий

Плагин Drag and Drop Multiple File Upload for Contact Form 7 для WordPress уязвим к инъекции PHP-объекта во всех версиях до 1.3.8.7 включит…

CVSS
8.8
Высокий
EPSS
0.01
p40
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Плагин Drag and Drop Multiple File Upload for Contact Form 7 для WordPress уязвим к инъекции PHP-объекта во всех версиях до 1.3.8.7 включительно через десериализацию недоверенного ввода из функции 'dnd_upload_cf7_upload' [1]. Это позволяет злоумышленникам внедрить PHP-объект через файл PHAR. Поскольку в уязвимом ПО отсутствует известная цепочка POP, эта уязвимость не оказывает никакого воздействия, если на сайте не установлен другой плагин или тема, содержащие цепочку POP. Если цепочка POP присутствует через дополнительный плагин или тему, установленные на целевой системе, это может позволить злоумышленнику выполнять действия, такие как удаление произвольных файлов, извлечение конфиденциальных данных или выполнение кода, в зависимости от присутствующей цепочки POP. Эта уязвимость может быть использована неаутентифицированными злоумышленниками, когда на сайте присутствует форма с действием загрузки файла. Плагин Flamingo должен быть установлен и активирован для эксплуатации этой уязвимости. Уязвимость была частично исправлена в версии 1.3.8.8. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/79ffe548-0005-4f5e-873f-a1afec64a251?source=cve - [2] https://plugins.trac.wordpress.org/browser/drag-and-drop-multiple-file-upload-contact-form-7/trunk/inc/dnd-upload-cf7.php#L25 - [3] https://plugins.trac.wordpress.org/browser/drag-and-drop-multiple-file-upload-contact-form-7/trunk/inc/dnd-upload-cf7.php#L844 - [4] https://plugins.trac.wordpress.org/changeset/3261964/ - [5] https://plugins.trac.wordpress.org/changeset/3288132/

Теги · CWE
Без аутентификации
CWE-502
CAPEC-586
Затронутые продукты
Drag_and_drop_multiple_file_upload_-_contact_form_7 < 1.3.8.9
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.005 · p40
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
drag_and_drop_multiple_file_upload_-_contact_form_7*Отслеживается
Источники данных
ANC
CVE