Falha crítica em plugin do WordPress coloca mais de 70 mil sites em risco

Uma vulnerabilidade crítica foi identificada no popular plugin do WordPress “Database for Contact Form 7, WPforms, Elementor forms”, afetando todas as versões até 1.4.3. Classificada como CVE-2025-7384 e com um escore CVSS de 9.8, essa falha permite que atacantes não autenticados injetem objetos PHP maliciosos e potencialmente excluam arquivos arbitrários de sites afetados. A vulnerabilidade decorre da desserialização de dados não confiáveis na função get_lead_detail do plugin, permitindo a injeção de objetos PHP sem autenticação. Quando combinada com uma cadeia de programação orientada a propriedades (POP) presente no plugin Contact Form 7, os atacantes podem escalar a injeção de objetos para alcançar a exclusão de arquivos arbitrários, resultando em condições de negação de serviço (DoS) ou até mesmo execução remota de código (RCE). A falha foi divulgada publicamente em 12 de agosto de 2025, e um patch foi disponibilizado logo em seguida. Administradores de sites devem atualizar imediatamente para a versão 1.4.4 ou superior para evitar a exploração dessa vulnerabilidade. Dada a natureza não autenticada da falha e seu potencial para execução remota de código, é crucial que as organizações afetadas priorizem a correção imediata e considerem implementar medidas de segurança adicionais, como firewalls de aplicações web (WAF) e monitoramento de segurança regular.

Fonte: https://cyberpress.org/critical-wordpress-plugin-flaw-2/

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).