Pubblicato il 2026-07-08 · Fonte: NVD NIST
Il plugin Simple Coherent Form per WordPress presenta una vulnerabilità di cancellazione di file arbitrari a causa della insufficiente validazione del percorso dei file nella funzione removeUploadDir. Ciò consente a un attaccante non autenticato di cancellare file arbitrari sul server, il che può facilmente portare a esecuzione di codice remoto se viene cancellato il file giusto, come ad esempio wp-config.php. La vulnerabilità è classificata come critica con un punteggio CVSS di 9.1.
Un attaccante può sfruttare questa vulnerabilità per cancellare file importanti sul server, come ad esempio il file di configurazione di WordPress, portando a una possibile esecuzione di codice remoto. Ciò può avere un impatto significativo sulla sicurezza del sistema, poiché potrebbe consentire all'attaccante di eseguire codice arbitrario sul server. I sistemi a rischio sono quelli che utilizzano il plugin Simple Coherent Form per WordPress in versioni fino a 2.4.13.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Simple Coherent Form alla versione più recente disponibile. Inoltre, è importante mantenere il software e i plugin aggiornati e applicare le pratiche di sicurezza generali, come utilizzare password complesse e abilitare l'autenticazione a due fattori. Se non è possibile aggiornare il plugin, si possono applicare workaround come limitare l'accesso al server e monitorare le attività sospette.
La causa è l'insufficiente validazione del percorso dei file nella funzione removeUploadDir del plugin Simple Coherent Form.
Il punteggio CVSS è 9.1, classificandola come critica.
Per proteggersi, si consiglia di aggiornare il plugin Simple Coherent Form alla versione più recente disponibile e applicare le pratiche di sicurezza generali.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.