CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-12352

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Gravity Forms dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji copy_post_image() we wszystkich wersjach do i włącznie z 2.9.20. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

Risk Assessment

To może prowadzić do zdalnego wykonania kodu, co stanowi poważne zagrożenie dla bezpieczeństwa serwera i danych organizacji. Wpływa to szczególnie na witryny z włączoną opcją allow_url_fopen oraz formularzem tworzenia postów z polem przesyłania plików.

Recommendation

Zaleca się aktualizację wtyczki Gravity Forms do najnowszej wersji oraz wyłączenie opcji allow_url_fopen, aby zminimalizować ryzyko nieautoryzowanego przesyłania plików.

Original NVD description (English source)

The Gravity Forms plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the copy_post_image() function in all versions up to, and including, 2.9.20. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. This only impacts sites that have allow_url_fopen set to `On`, the post creation form enabled along with a file upload field for the post

Vulnerability data from NVD (NIST) · CISA KEV · EPSS