CVE-2025-3515

Nome do Software Vulnerável e Versões Afetadas Drag and Drop Multiple File Upload for Contact Form 7 versões 1.3.8.9 e anteriores

Descrição O problema está relacionado à validação insuficiente de tipo de arquivo, permitindo que atacantes não autenticados contornem a lista negra do plugin e carreguem tipos de arquivos perigosos, como arquivos .phar, no servidor do site afetado. Isso pode levar à execução remota de código em servidores configurados para tratar arquivos .phar como scripts PHP executáveis, particularmente em configurações padrão Apache+mod php.

Recomendações Para as versões 1.3.8.9 e anteriores, atualize para uma versão posterior à 1.3.8.9 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo dnd-upload-cf7.php ou desativar o plugin Drag and Drop Multiple File Upload for Contact Form 7 até que um patch esteja disponível. Além disso, restrinja o upload de arquivos .phar e outros tipos de arquivos perigosos para minimizar o risco de exploração.