WordPress Plugin Redirection for Contact Form 7

Se han identificado tres vulnerabilidades en el plugin de WordPress Redirection for Contact Form 7, ampliamente utilizado para gestionar redirecciones tras envíos de formularios. Estas fallas permiten a atacantes no autenticados ejecutar acciones maliciosas, puede derivar en la eliminación de archivos críticos del servidor (como wp-config.php), en ejecución remota de código (RCE) o en la toma de control completo del sitio web.

CVE-2025-8141 (CVSS: 8.8):  Una validación insuficiente de rutas que permite a atacantes eliminar archivos arbitrarios en el servidor sin autenticación. Esto compromete directamente la disponibilidad del sitio y puede facilitar RCE tras la eliminación de archivos de configuración.

CVE-2025-8145 (CVSS: 8.6): esta vulnerabilidad permite a un atacante inyectar objetos PHP maliciosos a través de archivos PHAR manipulados, explotando la deserialización insegura. Esto podría habilitar ejecución remota de código o la manipulación no autorizada de archivos.

CVE-2025-8289 (CVSS: 7.5): esta vulnerabilidad permite inyección de objetos PHP sin autenticación, incluso sin necesidad del vector PHAR, ampliando la superficie de ataque. Puede conducir igualmente a ejecución de código arbitrario.

Versiones afectadas:

  • CVE-2025-8141, CVE-2025-8289 y CVE-2025-8145 : Redirection for Contact Form 7 3.2.4 y anteriores

Solución:

  • CVE-2025-8141, CVE-2025-8289 y CVE-2025-8145 : Redirection for Contact Form 7 Actualizar a 3.2.5

Recomendaciones:

  • Actualizara la última versión disponible del complemento afectado para corregir estas vulnerabilidades y mitigar los riesgos de seguridad.
  • Implementar medidas de monitoreo para detectar y responder rápidamente a posibles intentos de explotación.

Referencias: