Plataforma
wordpress
Componente
extensions-for-cf7
Corregido en
3.2.9
La vulnerabilidad CVE-2025-7645 afecta al plugin Extensions For CF7 (Contact form 7 Database, Conditional Fields and Redirection) para WordPress. Esta vulnerabilidad permite el acceso arbitrario de archivos debido a una validación insuficiente de la ruta del archivo. Un atacante no autenticado puede borrar archivos en el servidor, lo que podría llevar a la ejecución remota de código si se elimina un archivo crítico como wp-config.php. La vulnerabilidad afecta a versiones desde 0.0.0 hasta la 3.2.8, y se ha solucionado en la versión 3.2.9.
La principal consecuencia de esta vulnerabilidad es la posibilidad de que un atacante no autenticado pueda borrar archivos en el servidor WordPress. Si un administrador elimina una entrada, el atacante puede manipular la solicitud para borrar archivos arbitrarios. El escenario más grave es la eliminación del archivo wp-config.php, que contiene información sensible de la base de datos y configuración de WordPress. La pérdida de este archivo permitiría al atacante tomar el control completo del sitio web, incluyendo la inyección de código malicioso, robo de datos y modificación de la funcionalidad del sitio. Esta vulnerabilidad es similar en impacto a otras vulnerabilidades de acceso arbitrario de archivos que han afectado a WordPress en el pasado, donde la manipulación de la ruta del archivo ha permitido la ejecución de código remoto.
La vulnerabilidad CVE-2025-7645 fue publicada el 22 de julio de 2025. No se ha añadido a la lista KEV de CISA, ni se ha reportado un EPSS score. Actualmente no se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (acceso arbitrario de archivos) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los registros del servidor en busca de actividad sospechosa.
WordPress websites utilizing the Extensions For CF7 plugin, particularly those running older versions (0.0.0–3.2.8), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites with weak server configurations or inadequate access controls are also at increased risk.
• wordpress / composer / npm:
grep -r 'delete-file' /var/www/html/wp-content/plugins/extensions-for-cf7/• wordpress / composer / npm:
wp plugin list | grep 'Extensions For CF7'• wordpress / composer / npm:
wp plugin update extensions-for-cf7 --version=3.2.9• generic web: Check WordPress plugin directory for outdated versions of Extensions For CF7.
disclosure
Estado del Exploit
EPSS
0.55% (68% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-7645 es actualizar el plugin Extensions For CF7 a la versión 3.2.9 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Además, revise los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso de escritura. Después de la actualización, verifique la integridad del sitio web y la base de datos para confirmar que la vulnerabilidad ha sido resuelta.
Actualice el plugin Extensions For CF7 a la versión 3.2.9 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de la ruta del archivo, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-7645 is a vulnerability in the Extensions For CF7 WordPress plugin allowing unauthenticated attackers to delete files, potentially leading to remote code execution.
You are affected if you are using Extensions For CF7 versions 0.0.0 through 3.2.8 on your WordPress website.
Upgrade the Extensions For CF7 plugin to version 3.2.9 or later to resolve the vulnerability.
There is currently no indication of active exploitation campaigns, but public PoCs are likely to emerge.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.