Plataforma
wordpress
Componente
gsheetconnector-wpforms
Corregido en
4.0.2
Se ha identificado una vulnerabilidad de Inyección de Código (RCE) en el plugin WPForms Google Sheet Connector, permitiendo la ejecución remota de código. Esta falla afecta a las versiones desde 0.0 hasta la 4.0.1, comprometiendo la seguridad de los sitios web que utilizan este complemento. La vulnerabilidad ha sido publicada el 20 de febrero de 2026 y se recomienda actualizar a la versión 4.0.2 para solucionar el problema.
La vulnerabilidad de Inyección de Código en WPForms Google Sheet Connector permite a un atacante inyectar código malicioso en el proceso del plugin. Esto puede resultar en la ejecución remota de código en el servidor web, otorgando al atacante control total sobre el sitio web. El atacante podría modificar archivos, robar datos sensibles, instalar malware o utilizar el sitio web como punto de partida para ataques a otros sistemas en la red. Dada la naturaleza crítica de la vulnerabilidad, el impacto potencial es significativo y podría resultar en la pérdida de datos, interrupción del servicio y daño a la reputación.
La vulnerabilidad CVE-2025-67979 ha sido publicada públicamente el 20 de febrero de 2026. La probabilidad de explotación es alta debido a la severidad de la vulnerabilidad y la disponibilidad potencial de pruebas de concepto (PoC). Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
Websites utilizing the WPForms Google Sheet Connector plugin, particularly those handling sensitive user data or operating in high-risk environments, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server resources are also particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'gsheetconnector-wpforms' /var/www/html/
wp plugin list | grep gsheetconnector-wpforms• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/gsheetconnector-wpforms/ | grep -i 'Content-Type: application/octet-stream'disclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin WPForms Google Sheet Connector a la versión 4.0.2 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar cualquier cambio. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Además, revise los logs del servidor en busca de actividad sospechosa relacionada con el plugin.
Actualizar a la versión 4.0.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67979 is a critical Remote Code Execution vulnerability in the WPForms Google Sheet Connector plugin, allowing attackers to execute arbitrary code on your WordPress site.
You are affected if you are using WPForms Google Sheet Connector versions 0.0 through 4.0.1. Check your plugin version and upgrade immediately.
Upgrade the WPForms Google Sheet Connector plugin to version 4.0.2 or later. If immediate upgrade is not possible, disable the plugin temporarily.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests it is likely to be targeted soon.
Refer to the official WPForms website and security advisory page for the latest information and updates regarding CVE-2025-67979.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.