Se ha descubierto una vulnerabilidad de severidad crítica en el plugin Database for Contact Form 7, WPforms, Elementor forms para WordPress. Un actor malicioso podría ejecutar código arbitrario, eliminar archivos o extraer información sensible del servidor afectado.
Productos afectados
- Database for Contact Form 7, WPforms, Elementor forms, versiones hasta la 1.4.7.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-2599: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de deserialización de datos no confiables en la función ‘download_csv’. Un actor malicioso remoto no autenticado podría inyectar objetos PHP para realizar acciones maliciosas, como la ejecución de código o la eliminación de archivos, siempre que existan cadenas de Propiedades Orientadas a la Programación disponibles a través de otros temas o complementos instalados en el sistema objetivo.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias