Vulnerabilidad crítica en el plugin Everest Forms amenaza sitios WordPress

Se ha identificado una vulnerabilidad crítica en Everest Forms, un plugin ampliamente utilizado en WordPress para la creación de formularios de contacto, encuestas, boletines y formularios de pago. Esta falla, que afecta a más de 100,000 sitios web, permite la inyección de objetos PHP sin necesidad de autenticación. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código malicioso en los servidores comprometidos, poniendo en riesgo la integridad y seguridad del sitio.

CVE-2025-3439 (CVSS 9.8): Esta vulnerabilidad se origina en la deserialización de entradas no confiables a través del parámetro field_value, lo que permite a atacantes no autenticados inyectar objetos PHP en el sistema. Si bien el plugin afectado no contiene una cadena POP (Property-Oriented Programming) conocida por sí mismo, su combinación con otros plugins o temas vulnerables podría facilitar la ejecución de acciones maliciosas. Esto incluye la posible eliminación de archivos, el acceso a información sensible o la ejecución de código arbitrario en el servidor.

.

Productos y versiones afectadas:

  • Everest Forms – Contact Form, Quiz, Survey, Newsletter & Payment Form Builder para WordPress hasta 3.1.1

.

Solución:

  • Actualizar a la versión 3.1.2 del plugin Everest Forms.

.

Recomendaciones:

  • Actualizar inmediatamente el plugin Everest Forms a la versión 3.1.2 para mitigar la vulnerabilidad.
  • Revisar y actualizar otros plugins y temas instalados que puedan contener cadenas POP susceptibles de ser explotadas.
  • Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web (WAF), para detectar y bloquear intentos de explotación.
  • Realizar auditorías de seguridad periódicas para identificar y remediar posibles vulnerabilidades en el entorno WordPress.

.

Referencias: