Se ha descubierto una vulnerabilidad de seguridad crítica en el popular complemento de WordPress “Base de datos” Base de datos para el Formulario 7, WPFORMS, Formularios Elementor “, que potencialmente expone más de 70,000 sitios web a ataques de ejecución de código remoto.
La vulnerabilidad, rastreada como CVE-2025-7384 con una puntuación CVSS máxima de 9.8, afecta a todas las versiones hasta 1.4.3 y se divulgó públicamente el 12 de agosto de 2025.
El defecto proviene de la inyección del objeto PHP a través de la deserialización de la entrada no confiable en la función get_lead_lead_detail del complemento, lo que permite a los atacantes no autenticados inyectar objetos PHP maliciosos sin requerir ninguna credencial de usuario o interacción.
Control de llave
1. La vulnerabilidad crítica del complemento de WordPress expone más de 70,000 sitios a la ejecución de código remoto.
2. Los atacantes pueden explotar la inyección de objetos PHP para el compromiso del sistema.
3. Actualizar inmediatamente para evitar la explotación
Esto representa uno de los tipos más severos de vulnerabilidades de aplicaciones web, ya que permite a los atacantes ejecutar código arbitrario en servidores vulnerables.
Vulnerabilidad de deserialización del complemento de WordPress
La vulnerabilidad explota la deserialización de los datos no confiables, un vector de ataque común donde los objetos serializados maliciosos son procesados por la aplicación sin una validación adecuada.
El investigador de seguridad Mikemyers identificó la debilidad específica en el mecanismo de manejo de datos del complemento, donde la entrada proporcionada por el usuario se deserializa directamente sin controles de desinfección.
Lo que hace que esta vulnerabilidad sea particularmente peligrosa es la presencia de una cadena de programación orientada a la propiedad (POP) en el complemento de contacto del formulario 7, que se instala comúnmente junto con el complemento de la base de datos vulnerable.
Esta cadena POP permite a los atacantes escalar su inyección de objeto inicial en capacidades arbitrarias de eliminación de archivos, potencialmente dirigirse a archivos de sistema críticos como WP-Config (.) PHP.
Cuando se eliminan los archivos de configuración de WordPress básicos, puede conducir a un compromiso completo del sistema o habilitar escenarios de ejecución de código remoto.
El vector de ataque no requiere autenticación, por lo que es extremadamente accesible para los actores maliciosos.
El CVSS Vector String CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H Indica ataques basados en la red con baja complejidad, no se requieren privilegios y un alto impacto en la confidencialidad, la integridad y la disponibilidad.
Factores de riesgo Los productos afectados por DetailS Database para el Formulario de contacto 7, WPFORMS, El Elementor Forms Plugin ≤ 1.4.3IpCtremote Code ExecutionExPloit RequisitiseitsNone (ataque no autorizado) CVSS 3.1 puntaje9.8 (crítico)
Mitigaciones
Los administradores del sitio web que utilizan el complemento afectado deben actualizarse inmediatamente a la versión 1.4.4 o más, que contiene los parches de seguridad necesarios.
La vulnerabilidad se abordó a través de los mecanismos adecuados de validación de entrada y desinfección en la función get_lead_detail, evitando la inyección de objetos maliciosos.
Dada la naturaleza crítica de esta vulnerabilidad y su potencial para una explotación generalizada, los expertos en seguridad recomiendan implementar medidas de protección adicionales, incluidos los firewalls de aplicaciones web (WAF) y el monitoreo de seguridad regular.
Las organizaciones también deben realizar auditorías de seguridad integrales de sus instalaciones de WordPress, particularmente enfocándose en complementos de manejo de formularios que procesan la entrada del usuario.
La rápida divulgación y el parche de esta vulnerabilidad resaltan la importancia de mantener entornos actualizados de WordPress y el papel crítico de los investigadores de seguridad en la identificación de fallas potencialmente devastadoras antes de que puedan explotarse a escala.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
