Vulnerabilidad en WS Form LITE – Drag & Drop Contact Form Builder for WordPress para WordPress (CVE-2025-3912)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/04/2025
Última modificación:
29/04/2025
Descripción
El complemento WS Form LITE – Drag & Drop Contact Form Builder for WordPress para WordPress es vulnerable al acceso no autorizado a los datos debido a la falta de una comprobación de capacidad en la función 'get_config' en todas las versiones hasta la 1.10.35 incluida. Esto permite que atacantes no autenticados lean la configuración del complemento, incluidas las claves API para los servicios integrados.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/ws-form/trunk/api/class-ws-form-api.php
- https://plugins.trac.wordpress.org/browser/ws-form/trunk/includes/class-ws-form-common.php
- https://plugins.trac.wordpress.org/browser/ws-form/trunk/includes/class-ws-form-config.php
- https://plugins.trac.wordpress.org/browser/ws-form/trunk/ws-form.php
- https://plugins.trac.wordpress.org/changeset/3280355/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/3f6058e2-a5ec-43b2-9cb7-9efcf0853ffc?source=cve