CVE-2025-14344
KrytyczneStreszczenie
Wtyczka Multi Uploader dla Gravity Forms w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'plupload_ajax_delete_file' we wszystkich wersjach do 1.1.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ atakujący mogą usunąć istotne pliki, co może prowadzić do utraty danych i zakłócenia działania serwisu.
Rekomendacja
Zaleca się aktualizację wtyczki Multi Uploader do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie dostępu do plików.
Oryginalny opis (angielski, źródło NVD)
The Multi Uploader for Gravity Forms plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the 'plupload_ajax_delete_file' function in all versions up to, and including, 1.1.7. This makes it possible for unauthenticated attackers to delete arbitrary files on the server.

