Vulnerabilidad en Drag and Drop Multiple File Upload (Pro) - WooCommerce para WordPress (CVE-2025-5746)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-434 Subida sin restricciones de ficheros de tipos peligrosos

Fecha de publicación:

02/07/2025

Última modificación:

03/07/2025

Descripción

El complemento Drag and Drop Multiple File Upload (Pro) - WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función "dnd_upload_cf7_upload_chunks()" en las versiones 5.0 a 5.0.5 (cuando se incluye con el tema PrintSpace) y en todas las versiones hasta la 1.7.1 (incluida) (en la versión independiente). Esto permite que atacantes no autenticados suban archivos arbitrarios al servidor del sitio web afectado, lo que podría posibilitar la ejecución remota de código. La ejecución de PHP está deshabilitada mediante un archivo .htaccess, pero aún es posible en ciertas configuraciones de servidor.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vulnerabilidad en Drag and Drop Multiple File Upload (Pro) - WooCommerce para WordPress (CVE-2025-5746)

Descripción

Impacto

Referencias a soluciones, herramientas e información