CVE-2025-7360
KrytyczneStreszczenie
Wtyczka HT Contact Form Widget dla WordPressa jest podatna na przenoszenie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji handle_files_upload(). Dotyczy to wszystkich wersji do 2.2.1 włącznie.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą przenosić dowolne pliki na serwer, co może prowadzić do zdalnego wykonania kodu, jeśli przeniesiony zostanie odpowiedni plik, na przykład wp-config.php.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz przegląd zabezpieczeń serwera, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
The HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder plugin for WordPress is vulnerable to arbitrary file moving due to insufficient file path validation in the handle_files_upload() function in all versions up to, and including, 2.2.1. This makes it possible for unauthenticated attackers to move arbitrary files on the server, which can easily lead to remote code execution when the right file is moved (such as wp-config.php).

