Plataforma
wordpress
Componente
ht-contactform
Corregido en
2.2.2
La vulnerabilidad CVE-2025-7360 es un fallo de Directory Traversal descubierto en el plugin HT Contact Form – Drag & Drop Form Builder for WordPress. Esta falla permite a atacantes no autenticados mover archivos arbitrarios en el servidor, lo que podría resultar en la ejecución remota de código. Afecta a todas las versiones del plugin desde 0.0.0 hasta la 2.2.1, y se recomienda actualizar a la versión 2.2.2 para solucionar el problema.
El impacto de esta vulnerabilidad es crítico debido a su potencial para la ejecución remota de código. Un atacante podría aprovechar esta falla para subir y mover archivos arbitrarios en el servidor web. El escenario de ataque más preocupante es la manipulación del archivo wp-config.php, que contiene información sensible de la configuración de WordPress, como las credenciales de la base de datos. Al modificar este archivo, un atacante podría obtener control total sobre el sitio web, incluyendo la capacidad de leer, modificar y eliminar datos, instalar malware, y comprometer otros sistemas en la misma red. La facilidad de explotación, combinada con la alta sensibilidad de los datos almacenados en WordPress, convierte a esta vulnerabilidad en un riesgo significativo.
Esta vulnerabilidad ha sido publicada públicamente el 15 de julio de 2025. No se ha confirmado la inclusión en el KEV de CISA, pero la alta puntuación CVSS (9.1) indica un alto riesgo de explotación. La naturaleza de Directory Traversal, combinada con la popularidad de WordPress, sugiere que esta vulnerabilidad podría ser objeto de escaneo automatizado y explotación en la naturaleza. Se recomienda monitorear los registros del servidor en busca de actividad sospechosa relacionada con el plugin.
Websites using the HT Contact Form plugin, particularly those running older, unpatched versions (0.0.0–2.2.1), are at significant risk. Shared hosting environments are especially vulnerable, as attackers can potentially compromise multiple websites through a single plugin vulnerability. Sites with weak file permission configurations are also at higher risk.
• wordpress / composer / npm:
grep -r "handle_files_upload()" /var/www/html/wp-content/plugins/ht-contact-form/• wordpress / composer / npm:
wp plugin list --status=all | grep "ht-contact-form"• wordpress / composer / npm:
wp plugin update ht-contact-form• wordpress / composer / npm:
wp plugin status ht-contact-form• wordpress / composer / npm:
wp plugin list --alldisclosure
patch
Estado del Exploit
EPSS
1.11% (78% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-7360 es actualizar el plugin HT Contact Form a la versión 2.2.2 o superior, donde se ha solucionado la vulnerabilidad. Si la actualización causa problemas de compatibilidad con otros plugins o temas, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes que intenten acceder o manipular archivos fuera del directorio esperado del plugin. También es recomendable revisar los permisos de los archivos y directorios del plugin para asegurar que solo el usuario web tenga acceso de lectura y escritura a los archivos necesarios. Después de la actualización, verifique que el plugin funcione correctamente y que no haya archivos sospechosos en el directorio del plugin.
Actualice el plugin HT Contact Form a la versión 2.2.2 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta actualización corrige la falta de validación adecuada de la ruta del archivo, previniendo que atacantes puedan mover archivos arbitrarios en el servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-7360 es una vulnerabilidad de Directory Traversal en el plugin HT Contact Form para WordPress que permite a atacantes mover archivos arbitrarios en el servidor, potencialmente ejecutando código remoto.
Si está utilizando el plugin HT Contact Form en WordPress en versiones 0.0.0 hasta 2.2.1, es vulnerable a esta falla.
Actualice el plugin HT Contact Form a la versión 2.2.2 o superior para solucionar la vulnerabilidad. Realice una copia de seguridad antes de actualizar.
Aunque no se ha confirmado la explotación activa, la alta puntuación CVSS y la naturaleza de la vulnerabilidad sugieren un riesgo significativo de explotación.
Consulte el sitio web del desarrollador del plugin o el repositorio de WordPress para obtener la información oficial sobre la vulnerabilidad y la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.