Plataforma
wordpress
Componente
metform
Corregido en
4.1.1
La vulnerabilidad CVE-2026-0633 afecta al plugin MetForm – Contact Form, Survey, Quiz, & Custom Form Builder for Elementor de WordPress. Esta vulnerabilidad de exposición de datos permite a atacantes no autenticados acceder a información sensible de los envíos de formularios. La vulnerabilidad se presenta en versiones desde 0.0.0 hasta la 4.1.0, y se ha solucionado en la versión 4.1.1.
El impacto principal de esta vulnerabilidad radica en la posibilidad de que atacantes obtengan acceso a datos confidenciales enviados a través de formularios creados con MetForm. Al explotar esta vulnerabilidad, un atacante puede generar un shortcode que, al ser utilizado, revela el contenido de las entradas del formulario. Esto podría incluir información personal, datos de contacto, respuestas a encuestas o cualquier otro dato recopilado a través del formulario. La ventana de exposición es limitada por el TTL (Time To Live) predeterminado de 15 minutos, pero aun así representa un riesgo significativo para la confidencialidad de los datos.
Esta vulnerabilidad fue publicada el 24 de enero de 2026. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial. La vulnerabilidad no se encuentra en el KEV de CISA al momento de esta redacción. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar posibles desarrollos.
Estado del Exploit
EPSS
0.06% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin MetForm a la versión 4.1.1 o superior. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente los shortcodes de MetForm para evitar la exposición de datos. Como medida adicional, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Monitorear los logs del servidor en busca de patrones inusuales de acceso a shortcodes también puede ayudar a detectar posibles ataques.
Actualizar a la versión 4.1.1, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0633 is a LOW severity vulnerability in the MetForm WordPress plugin affecting versions 0.0.0–4.1.0. It allows unauthenticated attackers to access form submission data via forgeable cookies, potentially exposing sensitive information.
You are affected if you are using MetForm plugin versions 0.0.0 through 4.1.0. Check your plugin version using wp plugin list and upgrade immediately if vulnerable.
Upgrade the MetForm plugin to version 4.1.1 or later. If upgrading is not immediately possible, temporarily disable MetForm shortcodes on public pages.
As of the current assessment, CVE-2026-0633 is not known to be actively exploited, and no public PoCs are available.
Refer to the official WordPress security advisory and the MetForm plugin developer's website for the latest information and updates regarding CVE-2026-0633.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.