Se ha descubierto una vulnerabilidad de severidad alta en el complemento SureForms para WordPress. Esta podría permitir a un actor malicioso la eliminación arbitraria de archivos en los sistemas afectados.
Productos afectados
- SureForms, versión 1.7.3 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-6691: con una puntuación de 8.1 en CVSS v3.1. El complemento es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función delete_entry_files(). Esto podría permitir que actores maliciosos no autenticados eliminen archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al eliminar el archivo correcto (como wp-config.php).
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-6691
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/sureforms/sureforms-drag-and-drop-form-builder-for-wordpress-173-unauthenticated-arbitrary-file-deletion-triggered-via-administrator-submission-deletion