Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se ha detectado una vulnerabilidad crítica de deserialización de datos no confiables (CWE-502) en plugins Database for Contact Form 7, WPforms y Elementor forms para WordPress, afectando todas las versiones hasta la 1.4.3 inclusive.
El fallo, localizado en la función get_lead_detail, permite a atacantes no autenticados inyectar objetos PHP arbitrarios. En entornos con Contact Form 7 instalado, es posible encadenar esta vulnerabilidad con una POP chain para eliminar archivos arbitrarios (incluido wp-config.php), lo que puede resultar en denegación de servicio o ejecución remota de código.
Recursos afectados
- Database for Contact Form 7, WPforms y Elementor forms – versiones ≤ 1.4.3
Solución y Mitigación
- Actualizar a la versión 1.4.4 o superior desde el repositorio oficial de WordPress.
- Desactivar el plugin en entornos críticos hasta completar la actualización.
- Implementar reglas en WAF/IDS/IPS para bloquear cargas que contengan secuencias de serialización PHP (
O:seguido de datos binarios sospechosos).
Recomendaciones
- Actualizar inmediatamente el plugin a la versión 1.4.4 o superior desde el repositorio oficial de WordPress.
- Desactivar temporalmente el plugin en entornos críticos hasta completar la actualización.
- Mantener todos los plugins y temas actualizados y eliminar aquellos sin soporte o con historial de vulnerabilidades críticas.