CVE-2025-3515 эта уязвимость типа Unrestricted File Upload в популярном плагине WordPress Drag and Drop Multiple File Upload for Contact Form 7. Если коротко, плагин неправильно проверяет тип загружаемых файлов, что позволяет неавторизованным пользователям заливать на сервер опасные файлы (.phar) и при определенных условиях выполнять произвольный код на сервере. Для того чтобы загруженный .phar-файл был исполнен, сервер должен быть сконфигурирован определенным образом. Наиболее уязвимы связки Apache + mod_php, где такие файлы могут обрабатываться как исполняемые php-скрипты.
PoC- https://github.com/blueisbeautiful/CVE-2025-3515
PoC- https://github.com/blueisbeautiful/CVE-2025-3515