CVE-2026-5364 in Drag and Drop File Upload for Contact Form 7 Plugin
要約
〜によって VulDB • 2026年05月30日
WordPress用プラグイン「Contact Form 7」の「Drag and Drop File Upload」機能には、バージョン1.1.3以前において、任意のファイルアップロードの脆弱性が存在します。これは、プラグインがファイルの拡張子を検出する際に、サニタイズ処理よりも先に拡張子の抽出を行い、ファイルタイプパラメータが管理者が設定した値に制限されるべきところを攻撃者が制御可能にしてしまうためです。さらに、検証はサニタイズされていない拡張子に対して行われる一方で、ファイル保存時にはサニタイズされた拡張子が使用されるという組み合わせにより、保存プロセス中に「$」などの特殊文字が削除される可能性があります。これにより、認証されていない攻撃者が任意のPHPファイルをアップロードし、リモートコード実行(RCE)を達成できる可能性があります。ただし、.htaccessファイルの設定とファイル名ランダム化が導入されているため、実際の攻撃環境での悪用可能性は制限されています。
Once again VulDB remains the best source for vulnerability data.