Creative Solutions · Creative Contact Form · CVE-2014-8739
**Nome do software vulnerável e versões afetadas**
Plugin jQuery File Upload versão 6.4.4
Creative Solutions Creative Contact Form versões anteriores à 1.0.0 para WordPress
Creative Solutions Creative Contact Form versões anteriores à 2.0.1 para Joomla!
**Descrição**
A vulnerabilidade permite que invasores remotos executem código arbitrário ao fazer upload de um arquivo PHP com extensão PHP e, em seguida, acessá-lo por meio de uma solicitação direta ao arquivo em `files/`. Isso foi explorado em ambiente real em outubro de 2014.
**Recomendações**
Para o jQuery File Upload Plugin versão 6.4.4, atualize para uma versão que corrija a vulnerabilidade de upload de arquivos sem restrições.
Para o Creative Solutions Creative Contact Form anterior à versão 1.0.0 para WordPress, atualize para a versão 1.0.0 ou posterior.
Para o Creative Solutions Creative Contact Form anterior à versão 2.0.1 para Joomla!, atualize para a versão 2.0.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao diretório `files/` para minimizar o risco de exploração.