CVE-2025-14842 in Drag and Drop Multiple File Upload for Contact Form 7 Plugininfo

Zusammenfassung

von VulDB • 04.06.2026

Das WordPress-Plugin „Drag and Drop Multiple File Upload – Contact Form 7“ ist in allen Versionen bis einschließlich 1.3.9.2 anfällig für eine eingeschränkte Hochladen von Dateien mit gefährlichem Typ. Dies liegt daran, dass das Plugin das Hochladen von .phar- und .svg-Dateien nicht blockiert. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige .phar- oder .svg-Dateien mit bösartigem PHP- oder JavaScript-Code hochzuladen. Bösartiger PHP-Code kann zur Remote Code Execution (RCE) auf dem Server über direkten Dateizugriff genutzt werden, wenn der Server so konfiguriert ist, dass er .phar-Dateien als PHP ausführt. Das Hochladen von .svg-Dateien kann unter bestimmten Umständen zu Stored Cross-Site Scripting (XSS) führen.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

17.12.2025

Veröffentlichung

07.01.2026

Moderieren

akzeptiert

Eintrag

VDB-339802

CPE

bereit

CWE

CWE-434 (bestätigt)

CVSS

6.1 (CNA)

EPSS

0.00064

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2025-14842
NVD	https://nvd.nist.gov/vuln/detail/CVE-2025-14842
CVE Details	https://www.cvedetails.com/cve/CVE-2025-14842/

◂ Zurück Übersicht Weiter ▸

Want to know what is going to be exploited?

We predict KEV entries!