CVE-2025-14344
CriticalSummary
Wtyczka Multi Uploader dla Gravity Forms w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'plupload_ajax_delete_file' we wszystkich wersjach do 1.1.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ atakujący mogą usunąć istotne pliki, co może prowadzić do utraty danych i zakłócenia działania serwisu.
Recommendation
Zaleca się aktualizację wtyczki Multi Uploader do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie dostępu do plików.
Original NVD description (English source)
The Multi Uploader for Gravity Forms plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the 'plupload_ajax_delete_file' function in all versions up to, and including, 1.1.7. This makes it possible for unauthenticated attackers to delete arbitrary files on the server.

