PT-2025-29532 · WordPress · Ht Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder.
Dale Mavers
+1
·
Publicado
2025-07-14
·
Atualizado
2025-09-29
·
CVE-2025-7340
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder. versões até e incluindo a 2.2.1
Descrição
O plugin HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder. para WordPress está vulnerável a upload de arquivos arbitrários devido à falta de validação de tipo de arquivo na função
temp file upload. Isso permite que atacantes não autenticados façam upload de arquivos arbitrários para o servidor afetado, potencialmente levando à execução remota de código. Aproximadamente 500 instâncias potencialmente vulneráveis do plugin foram identificadas. Atacantes foram observados explorando a vulnerabilidade através de requisições POST para /wp-admin/admin-ajax.php com arquivos maliciosos e requisições GET tentando mover ou excluir arquivos do sistema, como wp-config.php.Recomendações
Atualize o plugin para uma versão superior a 2.2.1.
Correção
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ht Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder.