Plateforme
wordpress
Composant
wpcf7-redirect
Corrigé dans
3.2.5
Le plugin Redirection for Contact Form 7 pour WordPress présente une vulnérabilité d'accès arbitraire aux fichiers. Cette faille, due à une validation insuffisante des chemins de fichiers, permet à des attaquants non authentifiés de supprimer des fichiers sur le serveur. La suppression de fichiers critiques, comme wp-config.php, peut entraîner une exécution de code à distance. Les versions affectées sont les versions 0.0.0 à 3.2.4 inclus.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour supprimer des fichiers sensibles sur le serveur WordPress, compromettant ainsi l'intégrité et la confidentialité du site web. La suppression de wp-config.php, par exemple, permettrait à l'attaquant de prendre le contrôle complet du serveur. La possibilité d'exécution de code à distance (RCE) rend cette vulnérabilité particulièrement dangereuse, car elle permet à l'attaquant d'exécuter des commandes arbitraires sur le serveur, d'installer des logiciels malveillants ou de voler des données sensibles. Cette vulnérabilité rappelle les risques liés à la manipulation de fichiers de configuration non sécurisée, un problème récurrent dans les applications web.
Cette vulnérabilité a été rendue publique le 20 août 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation potentielle suggère qu'elle pourrait être rapidement exploitée. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA, mais sa gravité élevée justifie une surveillance attentive. Des preuves de concept (PoC) pourraient rapidement apparaître, augmentant le risque d'exploitation.
WordPress websites utilizing the Redirection for Contact Form 7 plugin, particularly those running versions 0.0.0 through 3.2.4, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable, as an attacker could potentially exploit this vulnerability to impact other websites hosted on the same server.
• wordpress / composer / npm:
wp plugin list --status=active | grep Redirection• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep Redirection• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/redirection-for-contact-form7/ -name 'delete_associated_files.php'disclosure
Statut de l'Exploit
EPSS
0.35% (percentile 57%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Redirection for Contact Form 7 vers la version 3.2.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre les permissions du répertoire où le plugin est installé pour limiter l'impact potentiel d'une exploitation. Il est également recommandé de mettre en place un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes ciblant la fonction de suppression de fichiers. Surveillez attentivement les journaux du serveur pour détecter toute activité suspecte, notamment les tentatives de suppression de fichiers non autorisées.
Actualice el plugin Redirection for Contact Form 7 a la versión 3.2.5 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de archivo, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-8141 is a HIGH severity vulnerability in the Redirection for Contact Form 7 WordPress plugin allowing unauthenticated attackers to delete files, potentially leading to remote code execution.
You are affected if your WordPress site uses Redirection for Contact Form 7 version 0.0.0 through 3.2.4. Upgrade immediately.
Upgrade the Redirection for Contact Form 7 plugin to version 3.2.5 or later. If immediate upgrade is not possible, implement temporary workarounds like WAF rules or restricted file permissions.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor security advisories.
Refer to the official Redirection for Contact Form 7 plugin website and WordPress security announcements for the latest advisory and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.