Téléversement arbitraire de fichiers affectant le plugin Drag and Drop File Upload for Contact Form 7 de WordPress

Auteur/autrice de la publication :
Publication publiée :30 avril 2026

Origine : bjCSIRT

Numéro : 2026/ALERTE/024

APERÇU :

Une vulnérabilité de téléversement arbitraire de fichiers affectant le plugin Drag and Drop File Upload for Contact Form 7 de WordPress, permettrait à un acteur malveillant non authentifié de téléverser des fichiers arbitraires.

DESCRIPTION

Drag and Drop File Upload for Contact Form 7 est un plugin WordPress permettant d’intégrer un formulaire de téléversement de fichiers par glisser-déposer dans Contact Form 7.

Ce plugin est affecté par une vulnérabilité libellée CVE-2026-5364 résultant d’une validation insuffisante du type de fichier téléversé permettant à un acteur malveillant non authentifié de téléverser des fichiers PHP et potentiellement d’exécuter du code malveillant à distance.

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.1 selon le CVSS v3.1.

IMPACT

Exécution de code arbitraire à distance ;
Compromission de l’intégrité du système.

SYSTÈMES AFFECTÉS :

Les versions de Drag and Drop File Upload for Contact Form 7 (plugin WordPress) antérieures à 1.1.3 incluse.

MESURES À PRENDRE :

Mettre à jour le plugin Drag and Drop File Upload for Contact Form 7 vers la version 1.1.4 ou supérieure.

RÉFÉRENCES :

Vous devriez également aimer

Vulnérabilité de type exécution de code arbitraire à distance affectant Moodle

Exécution de code à distance dans VMware vRealize Operations Manager