一、 漏洞 CVE-2025-14457 基础信息
漏洞信息
# Contact Form 7 <=1.3.9.2 未授权文件删除漏洞
## 概述
Drag and Drop Multiple File Upload for Contact Form 7 插件中的 `dnd_codedropz_upload_delete()` 函数缺少所有权检查,导致存在未授权数据修改漏洞。
## 影响版本
所有版本至 1.3.9.2(含)
## 细节
当启用“Send attachments as links”设置时,`dnd_codedropz_upload_delete()` 函数未验证当前用户是否为文件所有者,攻击者可利用该缺陷删除服务器上任意已上传的文件。
## 影响
未认证的攻击者可删除任意上传的文件,可能导致数据丢失或服务中断。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.2 - Missing Authorization to Unauthenticated File Deletion
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Drag and Drop Multiple File Upload for Contact Form 7 plugin for WordPress is vulnerable to unauthorized modification of data due to a missing ownership check in the dnd_codedropz_upload_delete() function in all versions up to, and including, 1.3.9.2. This makes it possible for unauthenticated attackers to delete arbitrary uploaded files when the "Send attachments as links" setting is enabled.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Drag and Drop Multiple File Upload for Contact Form 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Drag and Drop Multiple File Upload for Contact Form 7 1.3.9.2及之前版本存在安全漏洞,该漏洞源于缺少所有权检查,可能导致未经授权的文件删除。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-14457 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-14457 的情报信息
标题: Changeset 3428236 for drag-and-drop-multiple-file-upload-contact-form-7 – WordPress Plugin Repository -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 安全修复 - **数据修改漏洞**:修复了由于在 `dnd_codedropz_upload_delete()` 函数中缺少所有权检查而导致的数据未经授权修改的问题。 - **任意文件上传漏洞**:修复了当使用黑名单模式且文件类型设置为 `*` 时,允许上传 `.phar` 和 `.svg` 文件的未认证有限任意文件上传问题。 #### 影响版本 - **版本**:1.3.8.8 及更早版本 #### 作者及报告者 - **作者**:glenwpcoder - **报告者**:shark3y (通过 WordFence) #### 修复日期 - **日期**:2025-12-27
标题: Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.2 - Missing Authorization to Unauthenticated File Deletion -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 - **漏洞名称**: Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.2 - Missing Authorization to Unauthenticated File Deletion - **CVE编号**: CVE-2025-14457 - **CVSS评分**: 3.7 (低) - **发布日期**: 2026年1月14日 - **最后更新**: 2026年1月15日 - **研究员**: shark3y - **影响版本**: <= 1.3.9.2 - **修复版本**: 1.3.9.3 - **漏洞描述**: 该插件由于在`dnd_codedropz_upload_delete()`函数中缺少所有权检查,允许未认证的攻击者删除任意上传的文件。 - **修复建议**: 更新到版本1.3.9.3或更新的修复版本。 - **CVE**: 无 - **CVSS**: 3.7 (低) - **公开发布**: 2026年1月14日 - **最后更新**: 2026年1月15日 - **研究者**: shark3y - **相关链接**: - [plugins.trac.wordpress.org](plugins.trac.wordpress.org) - **软件类型**: 插件 - **软件Slug**: drag-and-drop-multiple-file-upload-contact-form-7 - **已修复?**: 是 - **修复措施**: 更新到1.3.9.3或更新的修复版本 - **受影响的版本**: <= 1.3.9.2 - **修复版本**: 1.3.9.3
- https://nvd.nist.gov/vuln/detail/CVE-2025-14457
四、漏洞 CVE-2025-14457 的评论
暂无评论