Katalog CVE

CVE-2026-5524

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Divi Form Builder dla WordPressa do wersji 5.1.8 zawiera podatność na dowolne przesyłanie plików, prowadzącą do zdalnego wykonania kodu. Problem wynika z niewystarczającej walidacji rozszerzeń plików w funkcji do_image_upload(), gdzie parametr acceptFileTypes jest bezpośrednio wstawiany do wyrażenia regularnego. Atakujący może przesłać pliki z rozszerzeniami .phtml, .phar, .php5 lub .php7, omijając ochronę .htaccess blokującą tylko pliki .php.

Ocena ryzyka

Nieuwierzytelniony atakujący może uzyskać pełną kontrolę nad serwerem WordPress, przesyłając złośliwe pliki PHP do katalogu /wp-content/uploads/de_fb_uploads/. Na serwerach Nginx ochrona .htaccess jest całkowicie nieskuteczna, co dodatkowo zwiększa ryzyko.

Rekomendacja

Niezwłocznie zaktualizuj wtyczkę Divi Form Builder do wersji 5.1.9 lub nowszej. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz wtyczkę lub zablokuj dostęp do katalogu /wp-content/uploads/de_fb_uploads/ za pomocą reguł serwera.

Oryginalny opis (angielski, źródło NVD)

The Divi Form Builder plugin for WordPress is vulnerable to Arbitrary File Upload leading to Remote Code Execution in all versions up to and including 5.1.8. This is due to insufficient file extension validation in the do_image_upload() function where user-supplied input from the acceptFileTypes POST parameter is directly interpolated into a regular expression used to validate uploaded files. Attackers can specify PHP-executable extensions such as .phtml, .phar, .php5, or .php7 to bypass the plugin's .htaccess protection which only blocks .php files specifically. Additionally, on Nginx-based servers, the .htaccess protection is completely ineffective as Nginx does not process .htaccess files. This makes it possible for unauthenticated attackers (who can obtain a nonce from any public page containing a form) to upload executable PHP files to the publicly accessible /wp-content/uploads/de_fb_uploads/ directory and achieve Remote Code Execution by accessing the uploaded file via HTTP. The vulnerability was partially patched in version 5.1.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS