Vulnerabilidad crítica plugin WordPress expone a 700,000+ sitios (Impacto + Solución)

Resumen vulnerabilidad CVE-2025-7384

• Plugin afectado: Database for Contact Form 7, WPforms, Elementor forms – Contact Form Entries (CRM Perks).
• ID: CVE-2025-7384.
• Severidad (CVSS v3.1): 9.8 – Crítica (vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
• Versiones vulnerables: hasta e incluida 1.4.3.
• Parche disponible: 1.4.4 corrige la falla (versión estable actual 1.4.5).
• Instalaciones activas: 70.000+ sitios.
• Riesgo: eliminación arbitraria de archivos (p. ej. wp-config.php) que puede causar caída total del sitio y, en escenarios concretos, facilitar toma de control.
• Acción inmediata: Actualizar a ≥ 1.4.4 (idealmente 1.4.5) o desactivar el plugin si no es imprescindible.

¿Qué ocurrió y por qué importa?

CVE-2025-7384 es una vulnerabilidad de Inyección de Objetos PHP (CWE-502) en el plugin Contact Form Entries, utilizada para guardar entradas de formularios de Contact Form 7, WPForms, Elementor Forms y otros. El fallo reside en la función get_lead_detail, que deserializa datos no confiables. Un atacante remoto, sin autenticación, puede inyectar objetos PHP especialmente manipulados.

La gravedad se incrementa cuando el sitio también tiene instalado Contact Form 7, ya que su código aporta una POP chain (cadena de propiedades orientada a objetos) que permite a un atacante borrar archivos arbitrarios, incluido wp-config.php. Si este archivo se elimina, el sitio puede entrar en modo de instalación inicial (DoS) y, dependiendo del flujo posterior, abrir puertas para ejecución de código o toma de control.

¿A quién afecta la vulnerabilidad CVE-2025-7384?

• Sitios WordPress que utilicen Contact Form Entries ≤ 1.4.3.
• El riesgo se agrava si convive con Contact Form 7 (muy común).
• La base instalada es amplia: 70.000+ instalaciones activas, por lo que la superficie de ataque es significativa.

Detalles técnicos (para admins y técnicos)

• Tipo: PHP Object Injection (POI) por deserialización de entrada no confiable.
• Función implicada: get_lead_detail.
• Vector: remoto, sin credenciales (red pública).
• Impacto técnico directo: inyección de objetos; con POP chain disponible, borrado de archivos arbitrarios; borrar wp-config.php provoca DoS y puede habilitar RCE/toma de control durante reinstalación.
• Severidad: CVSS 9.8 (CNA: Wordfence).

¿Cuáles pueden ser las consecuencias para tu negocio?

• Caída total de la web (pérdidas de ventas y leads).
• Compromiso de datos (entradas de formularios con datos personales).
• Costes de recuperación (reinstalación, limpieza, reputación).
• Riesgo legal si se tratan datos personales sin medidas adecuadas.

¿Cómo saber si tu sitio web es vulnerable?

1. Comprueba la versión del plugin en Plugins → Instalados. Si ves 1.4.3 o inferior, estás vulnerable. (El changelog oficial confirma el fix en 1.4.4 y la versión actual 1.4.5).
2. Verifica si usas Contact Form 7 junto al plugin: eleva el riesgo de borrado de archivos.
3. WP-CLI (opcional):
   • wp plugin list –status=active | grep contact-form-entries
   • wp plugin get contact-form-entries –field=version

Indicaciones de que tu sitio a sido comprometido con esta vulnerabilidad

• Errores o caída repentina justo tras operaciones en el sitio (instalador de WordPress que aparece inesperadamente).
• Falta de wp-config.php o fecha de modificación anómala.
• Nuevos usuarios admin que no creaste.
• Archivos desconocidos en wp-content/uploads/ o en directorios de plugins/temas.
• Eventos inusuales en registros del servidor (error_log/access_log) alrededor de peticiones a endpoints de formularios.

Solución y mitigación inmediata (paso a paso)

1. Actualizar ya Contact Form Entries a ≥ 1.4.4 (recomendado 1.4.5 en el momento de publicar).
2. Si no puedes actualizar, desactiva el plugin de inmediato y valora alternativas.
3. Revisa integridad: confirma que wp-config.php y archivos críticos existen y no han sido alterados.
4. Audita usuarios y plugins: elimina cuentas/admins desconocidos y plugins/temas que no reconozcas.
5. Cambia contraseñas y claves (salts) si sospechas intrusión.
6. Restaura desde backup verificado si detectas compromiso.
7. Habilita un WAF/reglas específicas para endurecer admin-ajax.php y endpoints de formularios (rate-limiting).
8. Registra y monitorea: activa logging a nivel de servidor y WordPress.

Recomendaciones de seguridad avanzada

• Actualizaciones automáticas para plugins críticos y revisión semanal.
• Mínimos privilegios en hosting (deshabilita ejecución PHP en /uploads).
  .htaccess ejemplo (Apache):
  
  <Directory "/var/www/html/wp-content/uploads"> php_flag engine off <FilesMatch "\.(php|phar|phtml)$"> Deny from all </FilesMatch> </Directory>
• Copias de seguridad diarias con retención y restauración probada.
• Monitorización de integridad de archivos (sistema tipo WAF/IDS).
• Lista corta de plugins: solo lo necesario; elimina lo que no uses.

Preguntas frecuentes sobre la vulnerabilidad CVE-2025-7384

Cronología

• 8 de agosto de 2025 (aprox.) – El listado de Red Hat refleja actualización de información.
• 13 de agosto de 2025 – NVD publica la entrada con descripción técnica, referencia a get_lead_detail y CVSS 9.8 (CNA: Wordfence).
• Parche – El changelog oficial del plugin muestra versión 1.4.4 corrigiendo la vulnerabilidad, con 1.4.5 como versión actual.

Fuentes

• NVD (detalle oficial CVE): descripción técnica, CVSS y referencias.
• Repositorio oficial del plugin (WordPress.org): changelog con el fix en 1.4.4 y versión actual 1.4.5; ficha con instalaciones activas.
• Resumen adicional (WordPress.com/Red Hat/INCIBE): listados y metadatos del CVE.

¿Necesitas ayuda? Servicios profesionales para resolverla

Seguridad & Protección de Sitios WordPress

• Respuesta a incidentes (contención, erradicación, recuperación).
• Hardening completo: WAF, bloqueo de ejecución en uploads, políticas de permisos, 2FA, revisión de endpoints de formularios.
• Monitoreo proactivo y alertas de integridad.

Administración & Mantenimiento de Sitios WordPress

• Actualizaciones gestionadas (núcleo, plugins, temas) con pruebas previas.
• Backups automáticos verificados y restauración asistida.
• Auditorías mensuales de seguridad y rendimiento.