CVE-2025-2891

The Real Estate 7 WordPress theme for WordPress is vulnerable to arbitrary file uploads due to missing file type validation via the 'template-submit-listing.php' file in all versions up to, and including, 3.5.4. This makes it possible for authenticated attackers, with Seller-level access and above, to upload arbitrary files on the affected site's server which may make remote code execution possible if front-end listing submission has been enabled.
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) El tema Real Estate 7 para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo mediante el archivo 'template-submit-listing.php' en todas las versiones hasta la 3.5.4 incluida. Esto permite que atacantes autenticados, con acceso de vendedor o superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría permitir la ejecución remota de código si se ha habilitado el envío de anuncios desde la interfaz.

01 Apr 2025, 08:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-04-01 08:15

Updated : 2026-06-17 09:07


NVD link : CVE-2025-2891

Mitre link : CVE-2025-2891

CVE.ORG link : CVE-2025-2891


JSON object : View

Products Affected

No product.

CWE
CWE-434

Unrestricted Upload of File with Dangerous Type