Una vulnerabilidad grave ha sido descubierta en el plugin Database for Contact Form 7, WPForms y Elementor Forms, también conocido como Contact Form Entries Plugin que podría comprometer hasta 70.000 sitios web.
La falla de seguridad permite que atacantes no autenticados eliminen archivos, lancen ataques de denegación de servicio (DoS) o incluso ejecuten código remoto (RCE).
La vulnerabilidad ha sido calificada con una severidad de 9.8/10, reflejando la seriedad del riesgo.
El plugin permite que los formularios de contacto se almacenen en la base de datos de WordPress y ofrece funcionalidades como:
El problema crítico surge debido a una inyección de objetos PHP (PHP Object Injection) que puede ser explotada sin necesidad de autenticación.
Esto significa que un atacante no necesita tener una cuenta en el sitio para aprovechar la vulnerabilidad.
La falla permite que un objeto PHP malicioso sea inyectado en el plugin y deserializado, lo que puede desencadenar una cadena de ejecución de código (POP chain) si el sitio también utiliza el plugin Contact Form 7.
Todas las versiones del plugin hasta la 1.4.3 están afectadas. Los usuarios deben actualizar inmediatamente a la versión 1.4.5 o superior, donde la vulnerabilidad ha sido corregida.
Esta vulnerabilidad destaca la importancia de actualizar regularmente los plugins de WordPress y mantener buenas prácticas de seguridad para prevenir compromisos graves de sitios web.
La biografía más vendida del cofundador de Apple, Steve Jobs; escrita por uno de los…
Hubo un tiempo en el que la “seguridad en el hogar” significaba confiar en un…
Elon Musk vuelve a romper todos los esquemas. Los accionistas de Tesla acaban de aprobar…
Los fans de Grand Theft Auto tendrán que esperar un poco más para volver a…
Five Nights at Freddy’s: Into the Pit nos sumerge en un misterioso mundo donde lo…
Adéntrate en el oscuro y retorcido mundo de Bendy and the Ink Machine, donde los…