Plataforma
wordpress
Componente
helpdesk-contact-form
Corregido en
1.1.6
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin HelpDesk Contact Form para WordPress. Esta falla, presente en versiones desde 0.0.0 hasta 1.1.5, se debe a la falta de validación correcta de nonce en la función handlequeryargs(). Un atacante podría aprovechar esta vulnerabilidad para modificar la ID de la licencia y la configuración del formulario de contacto, comprometiendo la integridad del plugin.
La vulnerabilidad CSRF permite a un atacante, si logra engañar a un administrador del sitio para que realice una acción (como hacer clic en un enlace malicioso), modificar la configuración del plugin HelpDesk Contact Form. Esto podría incluir la alteración de la ID de la licencia, lo que podría resultar en problemas de facturación o activación incorrecta del plugin. Además, la modificación de la configuración del formulario de contacto podría permitir a un atacante redirigir los envíos de formularios a un destino controlado por el atacante, comprometiendo la confidencialidad de la información enviada a través del formulario. Aunque requiere interacción del usuario (el administrador), el impacto puede ser significativo si el atacante puede manipular al administrador.
Esta vulnerabilidad se publicó el 7 de enero de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace susceptible a ataques oportunistas. La baja complejidad de explotación aumenta la probabilidad de que sea explotada. No se ha añadido a la lista KEV de CISA al momento de la redacción.
WordPress sites utilizing the HelpDesk Contact Form plugin, particularly those with shared hosting environments or where administrators are routinely tricked into clicking on links from untrusted sources, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.
• wordpress / composer / npm:
grep -r 'handle_query_args' /var/www/html/wp-content/plugins/helpdesk-contact-form/• wordpress / composer / npm:
wp plugin list --status=all | grep 'helpdesk-contact-form'• wordpress / composer / npm:
wp plugin update helpdesk-contact-form --alldisclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin HelpDesk Contact Form a la versión 1.1.6 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación adicionales. Esto incluye la restricción del acceso administrativo a través de una autenticación de dos factores (2FA) para reducir el riesgo de manipulación del administrador. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten modificar la configuración del plugin. Monitorear los registros del servidor en busca de patrones de solicitudes inusuales también puede ayudar a detectar y prevenir ataques.
Actualizar a la versión 1.1.6, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13657 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin HelpDesk Contact Form para WordPress, que permite a atacantes modificar la configuración del plugin.
Si está utilizando el plugin HelpDesk Contact Form en versiones anteriores a 1.1.6, es vulnerable a esta vulnerabilidad.
Actualice el plugin HelpDesk Contact Form a la versión 1.1.6 o superior. Implemente medidas de mitigación como 2FA y reglas WAF si la actualización no es inmediata.
No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF la hace susceptible a ataques oportunistas.
Consulte el sitio web de WordPress y el repositorio del plugin HelpDesk Contact Form para obtener información oficial y actualizaciones.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.