Plataforma
wordpress
Componente
abcsubmit
Corregido en
1.2.5
El plugin 'Create custom forms for WordPress with a smart form plugin for smart businesses' para WordPress es vulnerable a la ejecución arbitraria de shortcodes. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código malicioso a través de shortcodes, comprometiendo la integridad y confidencialidad del sitio web. Las versiones afectadas son desde 1.0.0 hasta la 1.2.4. Se recomienda actualizar el plugin a una versión corregida lo antes posible.
La ejecución arbitraria de shortcodes representa un riesgo significativo para la seguridad de los sitios web WordPress. Un atacante podría inyectar código malicioso en el sitio a través de shortcodes, lo que podría resultar en la ejecución de código remoto (RCE), robo de datos sensibles, defacement del sitio web o la instalación de malware. Esta vulnerabilidad es particularmente preocupante porque no requiere autenticación, lo que significa que cualquier usuario anónimo puede explotarla. El impacto potencial se amplifica si el sitio web almacena información personal de los usuarios o procesa transacciones financieras, ya que un atacante podría acceder a esta información confidencial.
El CVE-2025-2801 fue publicado el 26 de abril de 2025. Actualmente no se conoce la existencia de un exploit público, pero la naturaleza de la vulnerabilidad (ejecución arbitraria de shortcodes) la convierte en un objetivo atractivo para los atacantes. La falta de autenticación necesaria para la explotación aumenta la probabilidad de que sea utilizada en ataques automatizados. Se recomienda monitorear activamente los sistemas para detectar cualquier actividad sospechosa.
Websites using the Smart Forms plugin for WordPress, particularly those running versions 1.0.0 through 1.2.4, are at risk. Shared hosting environments are particularly vulnerable as they often have limited control over plugin updates and security configurations. Sites relying on the plugin for critical form processing or data collection are at higher risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/smart-forms/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'smart-forms'• wordpress / composer / npm:
wp plugin auto-update --all• generic web: Check WordPress access logs for unusual shortcode patterns or requests originating from unexpected IP addresses.
disclosure
Estado del Exploit
EPSS
1.68% (82% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin 'Create custom forms for WordPress with a smart form plugin for smart businesses' a una versión corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como deshabilitar temporalmente el plugin o restringir el acceso a las funciones que utilizan shortcodes. Además, es crucial revisar los registros del servidor en busca de actividad sospechosa y aplicar reglas de firewall (WAF) para bloquear intentos de explotación. Se recomienda monitorear la integridad de los archivos del plugin para detectar modificaciones no autorizadas.
Actualice el plugin 'Create custom forms for WordPress with a smart form plugin for smart businesses' a una versión corregida. La vulnerabilidad se debe a la falta de validación de valores antes de ejecutar do_shortcode, lo que permite la ejecución de shortcodes arbitrarios. Consulte las fuentes de referencia para obtener más información sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2801 is a high-severity vulnerability in the Smart Forms plugin for WordPress, allowing unauthenticated attackers to execute arbitrary shortcodes due to insufficient input validation.
You are affected if your WordPress site uses the Smart Forms plugin and is running version 1.0.0 through 1.2.4. Upgrade immediately to mitigate the risk.
Upgrade the Smart Forms plugin to the latest available version. If upgrading is not possible, temporarily disable the plugin until a suitable workaround can be implemented.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests it is a likely target for attackers.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.