Càrrega de fitxers al complement Uploadify de WordPress
21/01/2026
CVE-2011-10041
CRÍTIC (9,8)
CVSS3: 8,6
El connector Uploadify per a WordPress podria permetre que un atacant remot carregui fitxers arbitraris, causat per una vulnerabilitat de càrrega de fitxers arbitrària a process_upload.php a causa d’una validació del tipus de fitxer que falta. Un atacant remot no autenticat pot carregar fitxers arbitraris al lloc web afectat de WordPress, cosa que pot permetre l’execució remota de codi carregant contingut executable a una ubicació accessible des del web.
post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}
Sistemes Afectats
- WordPress Uploadify plugin 1.0
Remediació
No hi ha cap recurs disponible a partir del 15 de gener del 2026. Vegeu-ne les Referències.
Referències
- https://packetstorm.news/files/id/98652
- https://wpscan.com/vulnerability/6946364c-9764-468e-87d5-2dd57e531985/
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/uploadify/uploadify-10-arbitrary-file-upload
- https://www.acunetix.com/vulnerabilities/web/wordpress-plugin-uploadify-remote-file-upload-1-0/
