{"id":4559,"date":"2021-02-05T14:57:32","date_gmt":"2021-02-05T13:57:32","guid":{"rendered":"https:\/\/www.lucushost.com\/blog\/?p=4559"},"modified":"2025-10-24T09:10:54","modified_gmt":"2025-10-24T08:10:54","slug":"vulnerabilidad-en-contact-form-7-style","status":"publish","type":"post","link":"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-en-contact-form-7-style\/","title":{"rendered":"Se ha detectado una vulnerabilidad en Contact Form 7 Style"},"content":{"rendered":"

En LucusHost queremos mantenerte siempre al tanto de todas las novedades de WordPress, as\u00ed que hoy nos toca informar de una nueva vulnerabilidad detectada en un plugin muy popular del repositorio oficial: Contact Form 7 Style<\/strong>.<\/p>\n

<\/p>\n

Contact Form 7 Style es un plugin adicional a Contact Form 7, uno de los plugins m\u00e1s utilizados para crear formularios de contactos. Esta extensi\u00f3n permite personalizar al m\u00e1ximo la apariencia de los formularios de tu p\u00e1gina a trav\u00e9s de c\u00f3digo CSS<\/a>.<\/p>\n

Seg\u00fan los datos del repositorio oficial de WordPress, se estima que esta extensi\u00f3n est\u00e1 activa en m\u00e1s de 50.000 instalaciones de WordPress.<\/p>\n

\u00bfEn qu\u00e9 consiste esta vulnerabilidad?<\/h2>\n

El equipo de Wordfence detect\u00f3 una vulnerabilidad<\/a><\/strong> en Contact Form 7 Style de tipo CSRF (Cross Site Request Forgery), mediante el cual se podr\u00eda realizar un ataque XSS (Cross Site Scripting) almacenado. Esta vulnerabilidad afecta a todas la versi\u00f3n 3.1.9 y anteriores.<\/p>\n

\u00bfQu\u00e9 quiere decir esto?<\/p>\n

Un usuario malintencionado puede enga\u00f1ar <\/i>al administrador de una web para que haga clic en un enlace o archivo adjunto que contiene c\u00f3digo malicioso con el objetivo de hacerse con los datos de sesi\u00f3n de una aplicaci\u00f3n, en este caso WordPress. De esta forma, el atacante puede loguearse, hacer cambios o inyectar malware en el sitio web.<\/p>\n

Eso s\u00ed, ten en cuenta que esto solamente puede ocurrir si el administrador est\u00e1 logueado en WordPress cuando hace clic o abre el archivo infectado. Es por ello que muchas veces, si es un enlace desconocido o un sitio poco fiable, siempre se abra en una ventana de inc\u00f3gnito.<\/p>\n

Aunque esta vulnerabilidad ya fue reportada el pasado 9 de diciembre de 2020, tras no recibir respuesta por parte de los desarrolladores de esta extensi\u00f3n, el equipo de plugins de WordPress decidi\u00f3 retirarlo del repositorio oficial esta misma semana:<\/p>\n

\"Contact<\/p>\n

\u00bfY ahora qu\u00e9 tengo que hacer?<\/h2>\n

Lo primero de todo, revisa que no tengas instalada esta extensi\u00f3n en tu WordPress. Y, si la tienes, ya sea activada o desactivada, desinstala el plugin<\/strong> de tu aplicaci\u00f3n.<\/p>\n

Normalmente, cuando se detecta alguna vulnerabilidad, ya est\u00e1 disponible una nueva versi\u00f3n con un parche de seguridad. En este caso, el plugin ha sido retirado temporalmente, por lo que no hay otra opci\u00f3n.<\/p>\n

Eso s\u00ed, ten en cuenta que esta vulnerabilidad afecta \u00fanicamente al plugin Contact Form 7 Style<\/strong> que es independiente al plugin Contact Form 7. As\u00ed que, si \u00fanicamente haces uso de este \u00faltimo, no tienes nada que preocuparte.<\/p>\n

Otras vulnerabilidades detectadas en WordPress<\/h2>\n

Este tipo de vulnerabilidades no son un caso aislado.<\/p>\n

El equipo de seguridad de WordPress ya advirti\u00f3 en otras ocasiones de fallos de seguridad que pueden poner tu web en peligro. Algunas de las m\u00e1s sonadas son:<\/p>\n