CVE-2026-5364 in Drag and Drop File Upload for Contact Form 7 Plugininformación

Resumen

por VulDB • 2026-05-13

El plugin Drag and Drop File Upload for Contact Form 7 para WordPress es vulnerable a la carga de archivos arbitrarios en las versiones 1.1.3 y anteriores. Esto se debe a que el plugin extrae la extensión del archivo antes de que se produzca la sanitización y permite que el parámetro del tipo de archivo sea controlado por el atacante, en lugar de estar restringido a los valores configurados por el administrador. Dado que la validación se realiza en la extensión sin sanitizar mientras que el archivo se guarda con una extensión sanitizada, esto permite que caracteres especiales como '$' sean eliminados durante el proceso de guardado. Esto hace posible que atacantes no autenticados carguen archivos PHP arbitrarios y potencialmente logren la ejecución remota de código; sin embargo, la presencia de un archivo .htaccess y la aleatorización del nombre restringen la explotabilidad en el mundo real.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-04-01

Divulgación

2026-04-24

Moderación

aceptado

Artículo

VDB-359307

CPE

listo

EPSS

0.00160

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5364
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5364
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5364/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!