Vulnerabilidad en Contact Form vCard Generator de ashishajani (CVE-2025-13717)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/01/2026
Última modificación:
15/04/2026
Descripción
El plugin Contact Form vCard Generator para WordPress es vulnerable a acceso no autorizado a datos debido a una comprobación de capacidad faltante en la función 'wp_gvccf_check_download_request' en todas las versiones hasta la 2.4, inclusive. Esto hace posible que atacantes no autenticados exporten datos sensibles de envíos de Contact Form 7 a través del parámetro 'wp-gvc-cf-download-id', incluyendo nombres, números de teléfono, direcciones de correo electrónico y mensajes.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/contact-form-vcard-generator/tags/2.4/includes/wp-gvc-cf-settings.php#L105
- https://plugins.trac.wordpress.org/browser/contact-form-vcard-generator/tags/2.4/includes/wp-gvc-cf-settings.php#L13
- https://plugins.trac.wordpress.org/browser/contact-form-vcard-generator/trunk/includes/wp-gvc-cf-settings.php#L105
- https://plugins.trac.wordpress.org/browser/contact-form-vcard-generator/trunk/includes/wp-gvc-cf-settings.php#L13
- https://www.wordfence.com/threat-intel/vulnerabilities/id/bdde4399-af90-4528-92a4-5176dfa5e453?source=cve