Vulnerabilidad en Drag and Drop Multiple File Upload for WooCommerce de WordPress (CVE-2025-2941)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

05/04/2025

Última modificación:

15/04/2026

Descripción

El complemento Drag and Drop Multiple File Upload for WooCommerce de WordPress es vulnerable a la transferencia arbitraria de archivos debido a una validación insuficiente de la ruta mediante el parámetro wc-upload-file[] en todas las versiones hasta la 1.1.4 incluida. Esto permite que atacantes no autenticados transfieran archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al transferir el archivo correcto (como wp-config.php).

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vulnerabilidad en Drag and Drop Multiple File Upload for WooCommerce de WordPress (CVE-2025-2941)

Descripción

Impacto

Referencias a soluciones, herramientas e información