Wordpress - CVE-2026-5524
Date de publication :
Il s'agit d'une vulnérabilité dans la fonction do_image_upload() du plugin Divi Form Builder.
Divi Form Builder est un plugin pour WordPress permettant de créer des formulaires personnalisés au sein du constructeur de pages Divi.
Cette fonction souffre d'une validation insuffisante des extensions de fichiers, car le paramètre POST acceptFileTypes, fourni par l'utilisateur, est directement interpolé dans une expression régulière utilisée pour valider les fichiers téléversés. Un attaquant peut spécifier des extensions exécutables PHP telles que .phtml, .phar, .php5 ou .php7 pour contourner la protection .htaccess du plugin, laquelle ne bloque que spécifiquement les fichiers .php. Sur les serveurs basés sur Nginx, cette protection .htaccess est en outre totalement inopérante puisque Nginx ne traite pas ce type de fichier. Un attaquant non authentifié, disposant simplement d'un nonce récupérable depuis n'importe quelle page publique contenant un formulaire, peut ainsi téléverser des fichiers PHP exécutables dans le répertoire public /wp-content/uploads/de_fb_uploads/.
Elle permet l'exécution de code arbitraire à distance en accédant au fichier téléversé via HTTP.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-434 : Unrestricted Upload of File with Dangerous Type
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Divi Form Builder versions 5.1.8 et antérieures
Solutions ou recommandations
• Un correctif partiel avait été introduit en version 5.1.3, jugé insuffisant.