CVE-2026-5364 in Drag and Drop File Upload for Contact Form 7 Plugin
요약
\~에 의해 VulDB • 2026. 05. 30.
WordPress용 Contact Form 7 플러그인의 Drag and Drop File Upload 기능은 버전 1.1.3 이하에서 임의의 파일 업로드 취약점이 존재합니다. 이는 플러그인이 파일 확장자를 추출하는 시점이 sanitization(정제) 이전에 발생하고, 파일 유형 파라미터가 관리자가 설정한 값으로 제한되지 않고 공격자가 제어할 수 있기 때문입니다. 또한 검증은 정제되지 않은 확장자에 대해 수행되는 반면, 파일은 정제된 확장자로 저장되기 때문에 저장 과정에서 '$'와 같은 특수 문자가 제거될 수 있습니다. 이를 통해 인증되지 않은 공격자가 임의의 PHP 파일을 업로드하고 원격 코드 실행(RCE)을 달성할 가능성이 있지만, .htaccess 파일 설정과 이름 무작위화(name randomization)가 적용되어 있어 실제 환경에서의 exploit(악용) 가능성은 제한됩니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.