Vulnerabilidad en Redirection for Contact Form 7 para WordPress (CVE-2025-8289)

El complemento Redirection for Contact Form 7 para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 3.2.4 incluida, mediante la deserialización de entradas no confiables en la función delete_associated_files. Esto permite a atacantes no autenticados inyectar un objeto PHP. Esta vulnerabilidad puede ser explotada por atacantes no autenticados cuando hay un formulario en el sitio con una acción de carga de archivos, y no afecta a sitios con PHP versión > 8. Esta vulnerabilidad también requiere la instalación y activación de la extensión "Redirection For Contact Form 7 Extension - Create Post" para ser explotada. No se conoce ninguna cadena POP presente en el software vulnerable, por lo que esta vulnerabilidad no tiene impacto a menos que se instale en el sitio otro complemento o tema que contenga una cadena POP. Si una cadena POP está presente a través de un complemento o tema adicional instalado en el sistema objetivo, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código, dependiendo de la cadena POP presente. Confirmamos que existe un gadget útil en el complemento Contact Form 7 que permite la eliminación arbitraria de archivos al instalarlo. Dado que Contact Form 7 es un requisito de este complemento, es probable que cualquier sitio que lo tenga habilitado y la extensión "Redirección para la extensión Contact Form 7 - Crear publicación" sea vulnerable a la eliminación arbitraria de archivos.