Wordpress - CVE-2026-5524

Date de publication :

Il s'agit d'une vulnérabilité dans la fonction do_image_upload() du plugin Divi Form Builder.

Divi Form Builder est un plugin pour WordPress permettant de créer des formulaires personnalisés au sein du constructeur de pages Divi.

Cette fonction souffre d'une validation insuffisante des extensions de fichiers, car le paramètre POST acceptFileTypes, fourni par l'utilisateur, est directement interpolé dans une expression régulière utilisée pour valider les fichiers téléversés. Un attaquant peut spécifier des extensions exécutables PHP telles que .phtml, .phar, .php5 ou .php7 pour contourner la protection .htaccess du plugin, laquelle ne bloque que spécifiquement les fichiers .php. Sur les serveurs basés sur Nginx, cette protection .htaccess est en outre totalement inopérante puisque Nginx ne traite pas ce type de fichier. Un attaquant non authentifié, disposant simplement d'un nonce récupérable depuis n'importe quelle page publique contenant un formulaire, peut ainsi téléverser des fichiers PHP exécutables dans le répertoire public /wp-content/uploads/de_fb_uploads/.

Elle permet l'exécution de code arbitraire à distance en accédant au fichier téléversé via HTTP.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-434 : Unrestricted Upload of File with Dangerous Type

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

Divi Form Builder versions 5.1.8 et antérieures

Solutions ou recommandations

•   Divi Form Builder versions 5.1.9 et supérieures corrigent la vulnérabilité.
•   Un correctif partiel avait été introduit en version 5.1.3, jugé insuffisant.