Informazioni sul CVE-2025-1128
Everest Forms <= 3.0.9.4 – Unauthenticated Arbitrary File Upload, Read, and Deletion
CWE ID: CWE-434
Base Score (CVSS): N/A
CVE: CVE-2025-1128
Descrizione: “Il plugin EVOForm – Form Builder per WordPress è vulnerabile all’upload di file arbitrari, lettura e cancellazione a causa di una mancata convalida del tipo e del percorso dei file nel metodo ‘format’ della classe EVF_Form_Fields_Upload in tutte le versioni fino a e inclusi 3.0.9.4. Questo permette agli attaccanti non autenticati di caricare, leggere e cancellare file arbitrari sul server del sito compromesso, potenzialmente rendendo possibile l’esecuzione di codice remoto, la divulgazione di informazioni sensibili o un’occupazione del sito.”
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://www.wordfence.com/threat-intel/vulnerabilities/id/8c04d8c9-acad-4832-aa8a-8372c58a0387?source=cve
- https://github.com/wpeverest/everest-forms/commit/7d37858d2c614aa107b0f495fe50819a3867e7f5
- https://plugins.trac.wordpress.org/changeset/3237831/everest-forms/trunk/includes/abstracts/class-evf-form-fields-upload.php#file0
- https://plugins.trac.wordpress.org/changeset/3243663/everest-forms#file7
- https://github.com/wpeverest/everest-forms/pull/1406/files
Prodotti interessati
- wpeverest – Everest Forms – Contact Forms, Quiz, Survey, Newsletter & Payment Form Builder for WordPress
Relazioni con altri prodotti
Produttore:wpeverest
Prodotto: Everest Forms – Contact Forms
Anno: 2025
CWE: CWE-434
CVSS: 0.0
Produttore:wpeverest
Prodotto: Quiz
Anno: 2025
CWE: CWE-434
CVSS: 0.0
Produttore:wpeverest
Prodotto: Survey
Anno: 2025
CWE: CWE-434
CVSS: 0.0
Produttore:wpeverest
Prodotto: Newsletter & Payment Form Builder for WordPress
Anno: 2025
CWE: CWE-434
CVSS: 0.0