CVE-2026-5710 in Drag and Drop Multiple File Upload for Contact Form 7 Plugin
Resumen
por VulDB • 2026-05-12
El plugin Drag and Drop Multiple File Upload para Contact Form 7 de WordPress es vulnerable a una Travesía de Rutas (Path Traversal) que conduce a una Lectura Arbitraria de Archivos en las versiones 1.3.9.6 y anteriores. Esto se debe a que el plugin utiliza los valores POST de mfile[] proporcionados por el cliente como fuente de verdad para la selección de archivos adjuntos al correo electrónico, sin realizar ninguna comprobación de procedencia de la carga en el lado del servidor, canonización de rutas ni aplicación de límites de contención de directorios. En dnd_wpcf7_posted_data(), cada nombre de archivo enviado por el usuario se anexa directamente a la URL de carga del plugin sin sanitización. En dnd_cf7_mail_components(), la URL se convierte de nuevo en una ruta de sistema de archivos utilizando str_replace() y solo se utiliza file_exists() como comprobación de aceptación antes de adjuntar el archivo al correo saliente de CF7. Esto permite a atacantes no autenticados leer y exfiltrar archivos arbitrarios legibles por el proceso del servidor web mediante secuencias de travesía de rutas en el parámetro mfile[], con los archivos revelados como adjuntos de correo electrónico. Nota: Esta vulnerabilidad está limitada a la carpeta 'wp-content' debido a la función wpcf7_is_file_path_in_content_dir() en el plugin Contact Form 7.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.