PT-2026-55198 · WordPress · Divi Form Builder

0Xd4Rk5Id3

·

Publicado

2026-07-02

·

Atualizado

2026-07-02

·

CVE-2026-5524

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Divi Form Builder versões anteriores a 5.1.9
Description A validação insuficiente de extensões de arquivo na função do image upload() permite que atacantes não autenticados realizem o upload arbitrário de arquivos, levando à Execução Remota de Código. O problema ocorre porque a entrada do usuário proveniente do parâmetro POST acceptFileTypes é interpolada diretamente em uma expressão regular usada para validação. Atacantes podem burlar as proteções do .htaccess utilizando extensões executáveis de PHP, como .phtml, .phar, .php5 ou .php7. Em servidores baseados em Nginx, a proteção .htaccess é totalmente ineficaz. Um atacante pode obter um nonce de qualquer página pública que contenha um formulário para fazer o upload de arquivos PHP executáveis para o diretório /wp-content/uploads/de fb uploads/ e executá-los via HTTP.
Recommendations Atualize o Divi Form Builder para a versão 5.1.9 ou posterior. Como medida de mitigação temporária, restrinja o acesso ao diretório /wp-content/uploads/de fb uploads/ para evitar a execução de arquivos carregados.

Correção

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-5524

Produtos afetados

Divi Form Builder