CVE-2026-5364 : Téléversement de fichier arbitraire dans Drag and Drop File Upload for Contact Form 7

Sommaire exécutif (Executive Summary)

La CVE-2026-5364 représente une faille de sécurité critique dans l’extension WordPress Drag and Drop File Upload for Contact Form 7. Les versions jusqu’à la 1.1.3 incluse contiennent une vulnérabilité de téléversement arbitraire de fichiers due à une désinfection inappropriée des extensions et à une gestion non sécurisée des paramètres. Bien que les configurations de sécurité par défaut offrent une atténuation partielle, des attaquants non authentifiés peuvent exploiter cette vulnérabilité pour parvenir à une exécution de code à distance (RCE) dans des environnements spécifiques.

Analyse de la cause racine

La vulnérabilité découle d’une erreur logique dans la manière dont l’extension traite les téléversements de fichiers. Lors des étapes initiales du processus, l’extension extrait les extensions de fichiers avant d’effectuer la désinfection nécessaire. De plus, l’extension accepte un paramètre contrôlé par l’utilisateur spécifiant le type de fichier, plutôt que de s’en tenir strictement aux valeurs configurées par l’administrateur.

Les routines de validation de sécurité effectuent des contrôles sur l’extension non désinfectée. Cependant, le mécanisme de sauvegarde applique ensuite une désinfection, supprimant efficacement des caractères tels que le signe dollar ($) du nom de fichier. Cette divergence entre la validation et le stockage permet de contourner les filtres de sécurité.

Analyse de l’exploitation

Des attaquants non authentifiés peuvent élaborer des requêtes malveillantes pour téléverser des fichiers arbitraires, y compris des scripts PHP, sur le serveur web. Bien que l’extension utilise la randomisation des noms de fichiers et des fichiers de configuration .htaccess pour tenter de restreindre l’accès direct aux fichiers téléversés, ces mécanismes peuvent être contournés. Par conséquent, la possibilité d’obtenir une exécution de code à distance (RCE) existe, particulièrement dans les environnements serveurs mal configurés où les fichiers .htaccess sont ignorés ou mal interprétés.

Indicateurs de compromission (IOC)

La surveillance technique doit privilégier les artefacts suivants :

• Identification de fichiers non autorisés ou inhabituels dans les répertoires de téléversement spécifiques à l’extension.
• Présence de fichiers présentant des conventions de nommage non conventionnelles ou des caractères cachés dans le chemin du fichier.
• Modifications non autorisées des fichiers .htaccess situés dans ou à proximité du répertoire de téléversement de l’extension.

Détection et atténuation

Les stratégies suivantes sont recommandées pour identifier et bloquer les tentatives d’exploitation potentielles.

Règles Sigma

Surveillance des requêtes HTTP

title: Exploitation potentielle de la CVE-2026-5364
status: experimental
description: Détecte les requêtes HTTP suspectes vers les gestionnaires de fichiers de l'extension concernée.
logsource:
    category: web_server
detection:
    selection:
        c-uri-stem|contains: '/backend/index.php'
        c-query-string|contains: 'file type'
    condition: selection

Surveillance du système de fichiers

title: Création de fichier suspecte dans le répertoire de téléversement
status: experimental
description: Surveille la création de fichiers .php dans le répertoire de téléversement de l'extension.
logsource:
    category: file_event
detection:
    selection:
        TargetFilename|contains: '/wp-content/uploads/'
        TargetFilename|endswith: '.php'
    condition: selection

Références

• NVD - CVE-2026-5364