CVE-2026-5718

Name of the Vulnerable Software and Affected Versions Drag and Drop Multiple File Upload for Contact Form 7 versões anteriores a 1.3.9.7

Description Ocorre uma validação insuficiente do tipo de arquivo quando tipos de lista negra personalizados são configurados, pois o sistema substitui a lista de permissões de extensões perigosas padrão em vez de mesclá-la. Além disso, a função wpcf7 antiscript file name() pode ser ignorada usando nomes de arquivos que contenham caracteres não-ASCII. Isso permite que invasores não autenticados façam o upload de arquivos arbitrários, como arquivos PHP, para o servidor, podendo levar à execução remota de código.

Recommendations Atualize para uma versão posterior a 1.3.9.6.