# N/A
## 漏洞概述
Drag and Drop Multiple File Upload for Contact Form 7 插件存在任意文件上传漏洞,攻击者可以通过绕过黑名单上传 `.phar` 或其他危险文件类型,进而实现远程代码执行。
## 影响版本
所有版本,包括 1.3.8.9 及之前版本。
## 漏洞细节
- **问题根源**:文件类型验证不足。
- **攻击场景**:未认证的攻击者可以绕过黑名单上传 `.phar` 或其他危险文件。
- **利用条件**:服务器配置为处理 `.phar` 文件为可执行 PHP 脚本时,特别是在默认的 Apache+mod_php 配置下,文件扩展名在传递到 PHP 解释器之前不会进行严格的验证。
## 影响
在配置为处理 `.phar` 文件为可执行 PHP 脚本的服务器上,该漏洞可能导致远程代码执行。
# | POC 描述 | 源链接 | 神龙链接 |
---|---|---|---|
1 | CVE‑2025‑3515 — Drag and Drop Multiple File Upload for Contact Form 7 | https://github.com/Professor6T9/CVE-2025-3515 | POC详情 |
标题: Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.8.9 - Unauthenticated Arbitrary File Upload via Insufficient Blacklist Checks -- 🔗来源链接
标签:
神龙速读`
标题: dnd-upload-cf7.php in drag-and-drop-multiple-file-upload-contact-form-7/tags/1.3.8.8/inc – WordPress Plugin Repository -- 🔗来源链接
标签: