Vulnerabilidad en Filr – Secure document library de wpchill (CVE-2025-14632)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
17/01/2026
Última modificación:
15/04/2026
Descripción
El plugin Filr – Secure document library para WordPress es vulnerable a cross-site scripting almacenado a través de la carga de archivos sin restricciones en todas las versiones hasta la 1.2.11, inclusive, debido a restricciones de tipo de archivo insuficientes en la clase FILR_Uploader. Esto permite a atacantes autenticados, con acceso de nivel de Administrador y superior, cargar archivos HTML maliciosos que contienen JavaScript que se ejecutará cada vez que un usuario acceda al archivo cargado, siempre que tengan permiso para crear o editar publicaciones con el tipo de publicación 'filr'.
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/filr-protection/tags/1.2.10/src/class-filr-uploader.php#L14
- https://plugins.trac.wordpress.org/browser/filr-protection/trunk/src/class-filr-uploader.php#L14
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3425333%40filr-protection&new=3425333%40filr-protection&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/c16c3a8d-bae1-4729-86c8-ec13481ff187?source=cve