CVE-2019-25296

The WP Cost Estimation plugin for WordPress is vulnerable to arbitrary file uploads and deletion due to missing file type validation in the lfb_upload_form and lfb_removeFile AJAX actions in versions up to, and including, 9.642. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected sites server which may make remote code execution possible. Additionally, the attacker can also delete files on the server such as database configuration files, subsequently uploading their own database files.
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) El plugin WP Cost Estimation para WordPress es vulnerable a la carga y eliminación arbitraria de archivos debido a la falta de validación del tipo de archivo en las acciones AJAX lfb_upload_form y lfb_removeFile en versiones hasta la 9.642, inclusive. Esto hace posible que atacantes no autenticados carguen archivos arbitrarios en el servidor de los sitios afectados, lo que puede hacer posible la ejecución remota de código. Además, el atacante también puede eliminar archivos en el servidor, como archivos de configuración de la base de datos, cargando posteriormente sus propios archivos de base de datos.

08 Jan 2026, 17:15

Type Values Removed Values Added
References () https://www.wordfence.com/blog/2019/02/vulnerabilities-patched-in-wp-cost-estimation-plugin/ - () https://www.wordfence.com/blog/2019/02/vulnerabilities-patched-in-wp-cost-estimation-plugin/ -

08 Jan 2026, 03:15

Type Values Removed Values Added
New CVE

Information

Published : 2026-01-08 03:15

Updated : 2026-06-17 02:32


NVD link : CVE-2019-25296

Mitre link : CVE-2019-25296

CVE.ORG link : CVE-2019-25296


JSON object : View

Products Affected

No product.

CWE
CWE-434

Unrestricted Upload of File with Dangerous Type