CVE-2024-12267

Nome do Software Vulnerável e Versões Afetadas Plugin Drag and Drop Multiple File Upload – Contact Form 7 para WordPress versões até a 1.3.8.5 inclusive

Descrição O problema está relacionado à validação insuficiente de caminho de arquivo na função dnd codedropz upload delete(), permitindo que atacantes não autenticados excluam um número limitado de arquivos arbitrários no servidor. No entanto, não é possível excluir arquivos críticos como wp-config.php, o que permitiria execução remota de código (RCE).

Recomendações Para versões até a 1.3.8.5 inclusive, atualize para uma versão superior a 1.3.8.5 para resolver o problema. Como solução temporária, considere restringir o acesso à função dnd codedropz upload delete() até que uma correção esteja disponível. Além disso, monitore os logs do servidor em busca de atividade suspeita de exclusão de arquivos para minimizar danos potenciais.