PT-2026-55198 · WordPress · Divi Form Builder
0Xd4Rk5Id3
·
Publicado
2026-07-02
·
Atualizado
2026-07-02
·
CVE-2026-5524
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Divi Form Builder versões anteriores a 5.1.9
Description
A validação insuficiente de extensões de arquivo na função
do image upload() permite que atacantes não autenticados realizem o upload arbitrário de arquivos, levando à Execução Remota de Código. O problema ocorre porque a entrada do usuário proveniente do parâmetro POST acceptFileTypes é interpolada diretamente em uma expressão regular usada para validação. Atacantes podem burlar as proteções do .htaccess utilizando extensões executáveis de PHP, como .phtml, .phar, .php5 ou .php7. Em servidores baseados em Nginx, a proteção .htaccess é totalmente ineficaz. Um atacante pode obter um nonce de qualquer página pública que contenha um formulário para fazer o upload de arquivos PHP executáveis para o diretório /wp-content/uploads/de fb uploads/ e executá-los via HTTP.Recommendations
Atualize o Divi Form Builder para a versão 5.1.9 ou posterior.
Como medida de mitigação temporária, restrinja o acesso ao diretório
/wp-content/uploads/de fb uploads/ para evitar a execução de arquivos carregados.Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Divi Form Builder