Una vulnerabilidad grave ha sido descubierta en el plugin Database for Contact Form 7, WPForms y Elementor Forms, también conocido como Contact Form Entries Plugin que podría comprometer hasta 70.000 sitios web.
La falla de seguridad permite que atacantes no autenticados eliminen archivos, lancen ataques de denegación de servicio (DoS) o incluso ejecuten código remoto (RCE).
La vulnerabilidad ha sido calificada con una severidad de 9.8/10, reflejando la seriedad del riesgo.
¿Cómo funciona la vulnerabilidad encontrada en contact form entries?
El plugin permite que los formularios de contacto se almacenen en la base de datos de WordPress y ofrece funcionalidades como:
- Visualización de envíos de formularios
- Búsqueda y filtrado de entradas
- Marcar entradas como leídas o no leídas
- Exportación de datos
El problema crítico surge debido a una inyección de objetos PHP (PHP Object Injection) que puede ser explotada sin necesidad de autenticación.
Esto significa que un atacante no necesita tener una cuenta en el sitio para aprovechar la vulnerabilidad.
La falla permite que un objeto PHP malicioso sea inyectado en el plugin y deserializado, lo que puede desencadenar una cadena de ejecución de código (POP chain) si el sitio también utiliza el plugin Contact Form 7.
Versiones afectadas y corrección
Todas las versiones del plugin hasta la 1.4.3 están afectadas. Los usuarios deben actualizar inmediatamente a la versión 1.4.5 o superior, donde la vulnerabilidad ha sido corregida.
Impacto y recomendaciones de seguridad
- Afecta hasta 70,000 sitios WordPress.
- Permite borrado de archivos, RCE y DoS por atacantes no autenticados.
- Revisar y actualizar todos los plugins relacionados con formularios de contacto.
- Mantener siempre copias de seguridad recientes antes de actualizar o modificar plugins.
- Considerar limitar la exposición del REST API y otros puntos de entrada críticos en WordPress.
Esta vulnerabilidad destaca la importancia de actualizar regularmente los plugins de WordPress y mantener buenas prácticas de seguridad para prevenir compromisos graves de sitios web.
Artículos Relacionados
Descubre más desde CIBERED
Suscríbete y recibe las últimas entradas en tu correo electrónico.