CVE-2025-12974

Nome do Software Vulnerável e Versões Afetadas Versões do Gravity Forms anteriores à 2.9.22

Descrição O plugin Gravity Forms para WordPress está suscetível a uploads de arquivos arbitrários devido à validação inadequada de tipo de arquivo dentro do mecanismo legado de upload fragmentado. A lista negra de extensões não inclui arquivos .phar, permitindo que atacantes não autenticados façam upload de arquivos .phar executáveis. A exploração bem-sucedida requer que o servidor web esteja configurado para processar arquivos .phar como PHP. Isso pode levar à execução remota de código no servidor se um atacante conseguir determinar o caminho de upload.

Recomendações Atualize o Gravity Forms para a versão 2.9.22 ou superior.