CVE-2025-1128

Nome do Software Vulnerável e Versões Afetadas Everest Forms – Construtor de Formulários de Contato, Quiz, Pesquisa, Newsletter e Pagamento para WordPress versões 3.0.9.4 e anteriores

Descrição O problema está relacionado à ausência de validação de tipo e caminho de arquivo no método 'format' da classe EVF Form Fields Upload, permitindo que atacantes não autenticados façam upload, leiam e excluam arquivos arbitrários no servidor do site afetado. Isso pode levar à execução remota de código, divulgação de informações sensíveis ou tomada de controle do site. Mais de 100.000 sites WordPress estão potencialmente afetados.

Recomendações Para as versões 3.0.9.4 e anteriores, atualize para uma versão posterior à 3.0.9.4 para resolver o problema. Como contorno temporário, considere desativar a classe EVF Form Fields Upload ou restringir o acesso ao método vulnerável format até que uma correção esteja disponível. Evite usar a classe EVF Form Fields Upload nos endpoints de API afetados até que o problema seja resolvido.