CVE-2026-4347

Name of the Vulnerable Software and Affected Versions Plugin MW WP Form para WordPress versões até e incluindo 5.1.0

Description O plugin MW WP Form para WordPress é suscetível à movimentação arbitrária de arquivos devido à validação inadequada do caminho do arquivo através das funções generate user filepath e move temp file to upload dir. Isso permite que invasores não autenticados movam arquivos arbitrários no servidor, potencialmente levando à execução remota de código se um arquivo sensível, como wp-config.php, for movido. A vulnerabilidade é explorável quando um campo de upload de arquivo é adicionado a um formulário e a opção “Salvar dados de consulta no banco de dados” é habilitada. Afeta mais de 200.000 sites WordPress.

Recommendations Atualize o plugin MW WP Form para uma versão posterior à 5.1.0.