Plateforme
wordpress
Composant
extensions-for-cf7
Corrigé dans
3.2.9
La vulnérabilité CVE-2025-7645 affecte le plugin Extensions For CF7 (Contact form 7 Database, Conditional Fields and Redirection) pour WordPress. Elle permet une suppression arbitraire de fichiers en raison d'une validation insuffisante du chemin d'accès aux fichiers. Cette faille peut être exploitée par des attaquants non authentifiés pour supprimer des fichiers critiques, comme wp-config.php, ce qui pourrait conduire à une exécution de code à distance. Les versions concernées sont celles comprises entre 0.0.0 et 3.2.8 inclus.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour supprimer des fichiers sensibles sur le serveur WordPress, compromettant ainsi l'intégrité et la confidentialité du site web. La suppression de wp-config.php, par exemple, permettrait à l'attaquant de prendre le contrôle complet du serveur, en modifiant les configurations et en exécutant du code malveillant. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite pas d'authentification, ce qui signifie que n'importe qui peut tenter de l'exploiter. Le risque d'exécution de code à distance est élevé, ce qui pourrait entraîner une perte de données, une interruption de service ou une compromission complète du système.
Cette vulnérabilité a été rendue publique le 22 juillet 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation et l'absence d'authentification rendent cette vulnérabilité potentiellement dangereuse. Il est probable que des preuves de concept (PoC) soient rapidement disponibles, ce qui pourrait entraîner une augmentation de l'activité d'exploitation. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
WordPress websites utilizing the Extensions For CF7 plugin, particularly those running older versions (0.0.0–3.2.8), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites with weak server configurations or inadequate access controls are also at increased risk.
• wordpress / composer / npm:
grep -r 'delete-file' /var/www/html/wp-content/plugins/extensions-for-cf7/• wordpress / composer / npm:
wp plugin list | grep 'Extensions For CF7'• wordpress / composer / npm:
wp plugin update extensions-for-cf7 --version=3.2.9• generic web: Check WordPress plugin directory for outdated versions of Extensions For CF7.
disclosure
Statut de l'Exploit
EPSS
0.55% (percentile 68%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Extensions For CF7 vers la version 3.2.9 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'accès aux fonctions de suppression de fichiers via des règles de pare-feu applicatif web (WAF) ou des configurations de proxy. Il est également recommandé de surveiller attentivement les journaux du serveur pour détecter toute tentative de suppression de fichiers suspects. En cas de suspicion d'exploitation, il est conseillé de restaurer une sauvegarde récente du site web. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous que la fonction de suppression de fichiers est correctement restreinte.
Actualice el plugin Extensions For CF7 a la versión 3.2.9 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de la ruta del archivo, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-7645 is a vulnerability in the Extensions For CF7 WordPress plugin allowing unauthenticated attackers to delete files, potentially leading to remote code execution.
You are affected if you are using Extensions For CF7 versions 0.0.0 through 3.2.8 on your WordPress website.
Upgrade the Extensions For CF7 plugin to version 3.2.9 or later to resolve the vulnerability.
There is currently no indication of active exploitation campaigns, but public PoCs are likely to emerge.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.