Plataforma
wordpress
Componente
contact-form-cfdb7
Corregido en
1.3.3
La vulnerabilidad CVE-2025-4665 afecta al plugin Contact Form CFDB7 para WordPress en versiones hasta la 1.3.2. Se trata de una inyección SQL pre-autenticación que puede escalar a una deserialización insegura (PHP Object Injection). Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo la integridad y confidencialidad de los datos, y potencialmente ejecutando código arbitrario en el servidor.
La inyección SQL en Contact Form CFDB7 permite a un atacante acceder, modificar o eliminar datos almacenados en la base de datos. La escalada a deserialización insegura amplifica significativamente el impacto, permitiendo la inyección de objetos PHP arbitrarios. Esto podría resultar en la ejecución remota de código, el control total del sitio web WordPress y el acceso a información sensible como credenciales de usuario, datos de contacto y otra información confidencial. Un atacante podría también utilizar esta vulnerabilidad para realizar ataques de denegación de servicio (DoS) o para comprometer otros sistemas en la misma red.
La vulnerabilidad CVE-2025-4665 ha sido publicada el 28 de octubre de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación, pero la severidad CRÍTICA indica una alta probabilidad de explotación. La existencia de una inyección SQL que escala a deserialización insegura sugiere un alto riesgo de explotación, similar a otras vulnerabilidades de este tipo que han sido ampliamente explotadas en el pasado. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
Websites using the Contact Form CFDB7 plugin, particularly those running older, unpatched versions (0.0.0–1.3.2), are at significant risk. Shared hosting environments where multiple websites share the same server infrastructure are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / plugin: Use wp-cli to check the installed plugin version:
wp plugin list --status=active | grep Contact Form CFDB7• wordpress / plugin: Search plugin files for vulnerable code patterns (e.g., $GET, $POST without proper sanitization) using grep.
• generic web: Monitor access logs for unusual SQL query patterns targeting the plugin's endpoints. Look for UNION SELECT or other common SQL injection techniques.
• generic web: Check response headers for unexpected PHP object serialization or deserialization activity.
disclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Contact Form CFDB7 a la versión 1.3.3 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la restricción del acceso a los endpoints vulnerables a través de un firewall de aplicaciones web (WAF) o un proxy inverso, configurando reglas para bloquear solicitudes con patrones de inyección SQL conocidos. Además, se recomienda revisar y fortalecer la validación de entradas en el plugin para prevenir futuras vulnerabilidades de este tipo. Después de la actualización, confirme que la vulnerabilidad ha sido corregida revisando los logs del servidor y realizando pruebas de penetración.
Actualice el plugin Contact Form CFDB7 a una versión posterior a la 1.3.2. Esto solucionará la vulnerabilidad de inyección SQL y deserialización insegura. Puede actualizar el plugin directamente desde el panel de administración de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-4665 is a critical SQL injection and insecure deserialization vulnerability in the Contact Form CFDB7 WordPress plugin, allowing attackers to potentially gain unauthorized access and control.
If you are using Contact Form CFDB7 versions 0.0.0 through 1.3.2, you are affected by this vulnerability and should upgrade immediately.
Upgrade the Contact Form CFDB7 plugin to version 1.3.3 or later to resolve the vulnerability. If upgrading is not possible, temporarily disable the plugin and implement WAF rules.
While no active exploitation campaigns have been definitively confirmed, the vulnerability's severity and ease of exploitation make it a high-priority target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.