Origine : bjCSIRT

Numéro : 2026/ALERTE/024

APERÇU :

Une vulnérabilité de téléversement arbitraire de fichiers affectant le plugin Drag and Drop File Upload for Contact Form 7 de WordPress, permettrait à un acteur malveillant non authentifié de téléverser des fichiers arbitraires. 

DESCRIPTION

Drag and Drop File Upload for Contact Form 7 est un plugin WordPress permettant d’intégrer un formulaire de téléversement de fichiers par glisser-déposer dans Contact Form 7.   

Ce plugin est affecté par une vulnérabilité libellée CVE-2026-5364 résultant d’une validation insuffisante du type de fichier téléversé permettant à un acteur malveillant non authentifié de téléverser des fichiers PHP et potentiellement d’exécuter du code malveillant à distance. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.1 selon le CVSS v3.1. 

IMPACT

• Exécution de code arbitraire à distance ;
• Compromission de l’intégrité du système.

SYSTÈMES AFFECTÉS :

Les versions de Drag and Drop File Upload for Contact Form 7 (plugin WordPress) antérieures à 1.1.3 incluse. 

MESURES À PRENDRE :

Mettre à jour le plugin Drag and Drop File Upload for Contact Form 7 vers la version 1.1.4 ou supérieure. 

RÉFÉRENCES :

• https://www.cve.org/CVERecord?id=CVE-2026-5364
• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/drag-and-drop-file-upload-contact-form-7
• https://plugins.trac.wordpress.org/browser/drag-and-drop-file-upload-for-contact-form-7/trunk/backend/index.php#L181