Vulnerabilidades críticas en el plugin HT Contact Form de WordPress

Se han descubierto varias vulnerabilidades críticas en el plugin HT Contact Form de WordPress, activamente explotadas y con un alcance que afecta a más de 10.000 sitios web. Estos fallos permiten a los atacantes ejecutar código malicioso, acceder a archivos sensibles y, en el peor de los casos, comprometer completamente el sitio web. La empresa de ciberseguridad Wordfence ha lanzado una alerta instando a los administradores a aplicar medidas de mitigación inmediatas.

El equipo de inteligencia de amenazas de Wordfence identificó tres vulnerabilidades graves:

1. CVE-2025-23487 – Local File Inclusion (LFI)
   Esta vulnerabilidad permite a atacantes no autenticados incluir archivos arbitrarios del servidor a través de parámetros manipulados. Puede ser explotada para revelar archivos sensibles del sistema, como wp-config.php, o incluso lograr ejecución remota de código si se combinan con cargas maliciosas.
2. CVE-2025-23488 – Broken Authentication
   El plugin carecía de controles de autenticación adecuados en algunas funciones críticas, permitiendo a usuarios no autorizados realizar acciones privilegiadas, como el envío de datos manipulados o la ejecución de código mediante carga de archivos.
3. CVE-2025-7360 – Directory Traversal to Arbitrary File Move.
   El HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder plugin para WordPress es vulnerable al movimiento arbitrario de archivos debido a una validación insuficiente de la ruta del archivo en la función handle_files_upload() en todas las versiones hasta, e inclusive, 2.2.1. Esto hace posible que los atacantes no autenticados muevan archivos arbitrarios en el servidor, lo que puede conducir fácilmente a la ejecución remota de código cuando se mueve el archivo correcto (como wp-config.php).

Todas las vulnerabilidades han sido clasificadas como críticas (CVSS >= 9.0). Los atacantes ya están utilizando herramientas automatizadas para escanear e infectar sitios vulnerables, lo que aumenta el riesgo de ataques masivos y compromisos generalizados.

Recursos Afectados

• Plugin vulnerable: HT Contact Form
• Versiones afectadas: Hasta la 1.4.1 (inclusive)
• Número de instalaciones activas: Más de 10.000 sitios web
• Sistemas afectados: Todos los sitios WordPress que usen este plugin sin actualizar
• Componentes comprometidos: Inclusión de archivos arbitrarios, funciones de envío de formularios, rutas internas del servidor

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

1. Actualizar inmediatamente a la versión 1.4.2 o superior, donde el desarrollador ha corregido las vulnerabilidades.
2. Desactivar o eliminar temporalmente el plugin si no se puede actualizar por compatibilidad o pruebas previas.
3. Verificar los logs del servidor y del administrador de WordPress en busca de comportamientos anómalos (cambios de archivos, nuevas cuentas de administrador, ejecuciones no esperadas).
4. Implementar un firewall de aplicaciones web (WAF) que bloquee solicitudes maliciosas (Wordfence u otros plugins como Sucuri pueden ayudar).
5. Realizar una auditoría de seguridad completa del sitio y una limpieza si se sospecha que fue comprometido.
6. Restringir el acceso a archivos críticos del servidor y aplicar políticas de mínimos privilegios.

Referencias

• Wordfence – Más de 10.000 sitios WordPress afectados por vulnerabilidades críticas en HT Contact Form
• Infosecurity Magazine – Flaws in WordPress Plugin Expose Thousands of Sites