CVE-2025-2941

CRÍTIC (9,8)

CVSS3: 0,0

El complement Drag and Drop Multiple File Upload for WooCommerce per a WordPress és vulnerable al moviment arbitrari de fitxers a causa d’una validació insuficient del directori del fitxer mitjançant el paràmetre wc-upload-file[] en totes les versions fins a la 1.1.4 inclosa. Això fa possible que els atacants no autenticats puguin moure fitxers arbitraris al servidor, cosa que pot conduir fàcilment a l’execució de codi remota quan es mou el fitxer correcte (com ara wp-config.php).

Sistemes Afectats

• glenwpcoder Drag and Drop Multiple File Upload for WooCommerce

Remediació
No hi ha cap recurs disponible a partir del 5 d’abril del 2025.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/2685a2b4-aba3-425b-af0d-06f7693ab3d7?source=cve
• https://wordpress.org/plugins/drag-and-drop-multiple-file-upload-for-woocommerce/#developers
• https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=