CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-7360

Critical
Published: Translated: NVD NIST

Summary

Wtyczka HT Contact Form Widget dla WordPressa jest podatna na przenoszenie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji handle_files_upload(). Dotyczy to wszystkich wersji do 2.2.1 włącznie.

Risk Assessment

Atakujący bez uwierzytelnienia mogą przenosić dowolne pliki na serwer, co może prowadzić do zdalnego wykonania kodu, jeśli przeniesiony zostanie odpowiedni plik, na przykład wp-config.php.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz przegląd zabezpieczeń serwera, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

The HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder plugin for WordPress is vulnerable to arbitrary file moving due to insufficient file path validation in the handle_files_upload() function in all versions up to, and including, 2.2.1. This makes it possible for unauthenticated attackers to move arbitrary files on the server, which can easily lead to remote code execution when the right file is moved (such as wp-config.php).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS