WordPress - CVE-2026-5718
Date de publication :
Il s'agit d'une vulnérabilité de téléversement de fichiers arbitraires dans le plugin Drag and Drop Multiple File Upload for Contact Form 7 pour WordPress.
Drag and Drop Multiple File Upload for Contact Form 7 est un plugin WordPress qui étend le formulaire de contact Contact Form 7 avec une fonctionnalité d'envoi de fichiers par glisser-déposer, avec prise en charge des restrictions de types de fichiers autorisés et de la validation côté serveur.
Lorsqu'une liste noire personnalisée est configurée, elle remplace entièrement la liste noire par défaut au lieu de la fusionner avec elle. La fonction de sanitisation wpcf7_antiscript_file_name() ne traite pas les noms de fichiers contenant des caractères non-ASCII, permettant de contourner le second contrôle. Un attaquant soumet un fichier .php dont l'extension est masquée par un caractère non-ASCII, qui passe les deux validations défaillantes et est enregistré dans un répertoire accessible du serveur.
Elle permet à un attaquant non authentifié d'obtenir une exécution de code arbitraire à distance.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-434 : Unrestricted Upload of File with Dangerous Type
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Drag and Drop Multiple File Upload for Contact Form 7 versions 1.3.9.6 et antérieures