Katalog CVE

CVE-2025-14344

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Multi Uploader dla Gravity Forms w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'plupload_ajax_delete_file' we wszystkich wersjach do 1.1.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ atakujący mogą usunąć istotne pliki, co może prowadzić do utraty danych i zakłócenia działania serwisu.

Rekomendacja

Zaleca się aktualizację wtyczki Multi Uploader do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie dostępu do plików.

Oryginalny opis (angielski, źródło NVD)

The Multi Uploader for Gravity Forms plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the 'plupload_ajax_delete_file' function in all versions up to, and including, 1.1.7. This makes it possible for unauthenticated attackers to delete arbitrary files on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS