CVE-2026-4883

Nome do Software Vulnerável e Versões Afetadas Piotnet Forms versões anteriores a 2.1.41

Descrição Um problema de upload arbitrário de arquivos existe devido à falta de validação do tipo de arquivo na função piotnetforms ajax form builder(). O software utiliza uma lista negra de extensões incompleta que bloqueia apenas as extensões php, phpt, php5, php7 e exe, permitindo extensões perigosas como .phar ou .phtml. Isso permite que atacantes não autenticados façam o upload de arquivos arbitrários para o servidor, potencialmente levando à execução remota de código. Este problema só pode ser explorado se um campo de arquivo tiver sido adicionado ao formulário.

Recomendações Atualize para uma versão posterior a 2.1.40. Como medida paliativa temporária, evite adicionar campos de arquivo aos formulários até que a atualização seja aplicada.