Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Drag and Drop Multiple File Upload (Pro) - WooCommerce para WordPress (CVE-2025-5746)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
02/07/2025
Última modificación:
03/07/2025

Descripción

El complemento Drag and Drop Multiple File Upload (Pro) - WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función "dnd_upload_cf7_upload_chunks()" en las versiones 5.0 a 5.0.5 (cuando se incluye con el tema PrintSpace) y en todas las versiones hasta la 1.7.1 (incluida) (en la versión independiente). Esto permite que atacantes no autenticados suban archivos arbitrarios al servidor del sitio web afectado, lo que podría posibilitar la ejecución remota de código. La ejecución de PHP está deshabilitada mediante un archivo .htaccess, pero aún es posible en ciertas configuraciones de servidor.