Vulnerabilidad en Drag and Drop Multiple File Upload for Contact Form 7 de WordPress (CVE-2025-2485)

El complemento Drag and Drop Multiple File Upload for Contact Form 7 de WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 1.3.8.7 incluida, mediante la deserialización de entradas no confiables de la función "dnd_upload_cf7_upload". Esto permite a los atacantes inyectar un objeto PHP a través de un archivo PHAR. No se conoce ninguna cadena POP presente en el software vulnerable, lo que significa que esta vulnerabilidad no tiene impacto a menos que se instale en el sitio otro complemento o tema que contenga una cadena POP. Si una cadena POP está presente a través de un complemento o tema adicional instalado en el sistema objetivo, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código, dependiendo de la cadena POP presente. Esta vulnerabilidad puede ser explotada por atacantes no autenticados cuando hay un formulario en el sitio con la acción de subir archivos. El complemento Flamingo debe estar instalado y activado para explotar la vulnerabilidad.