В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критчиеская уязвимость в плагине WordPress для интеграции форм с Google Таблицами. Идентификатор уязвимости в системе BDU - 2025-16387, также ей присвоен идентификатор CVE-2025-7697. Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на сервере или вызвать отказ в обслуживании. Специалисты оценивают угрозу как критическую.
Детали уязвимости
Проблема затрагивает плагин Integration for Contact Forms and Google Sheets, который упрощает отправку данных из форм обратной связи, созданных через Contact Form 7, напрямую в Google Sheets. Уязвимость существует в функции "verify_field_val()" и связана с небезопасной десериализацией данных. Проще говоря, механизм, предназначенный для восстановления структур данных из строки, не проверяет входящую информацию должным образом. Следовательно, злоумышленник может отправить специально сконструированные вредоносные данные, которые при десериализации приведут к выполнению произвольного кода на сервере.
Эта уязвимость классифицируется как CWE-502: Десериализация ненадежных данных. Она относится к классу уязвимостей кода и эксплуатируется путем манипулирования структурами данных. Уязвимы все версии плагина до 1.1.2 включительно. Поскольку плагин активно используется для автоматизации бизнес-процессов, количество потенциально затронутых сайтов может быть значительным.
Оценка по методологии CVSS подтверждает высочайший уровень опасности. Базовая оценка CVSS 2.0 составляет максимальные 10.0 баллов. Более современная оценка CVSS 3.1 также указывает на критичность - 9.8 баллов. Вектор атаки - сетевой (AV:N), не требует аутентификации (PR:N) или взаимодействия с пользователем (UI:N). Успешная эксплуатация дает злоумышленнику полный контроль над конфиденциальностью (C:H), целостностью (I:H) и доступностью (A:H) системы.
Производитель, WordPress Foundation, уже подтвердил наличие проблемы и выпустил исправление. Уязвимость была устранена в обновленной версии плагина. Разработчики настоятельно рекомендуют всем пользователям немедленно обновиться до актуальной версии через стандартную панель управления WordPress. Это основной и единственный необходимый способ устранения риска.
Тем временем эксперты по безопасности обращают внимание на общую тенденцию. Уязвимости, связанные с небезопасной десериализацией, остаются распространенным и опасным вектором атак. Они часто позволяют загружать и выполнять произвольный вредоносный код (malicious payload). В контексте WordPress подобные уязвимости особенно опасны, поскольку могут привести к полному захвату сайта. Например, злоумышленник может установить backdoor для постоянного доступа (persistence), украсть данные или развернуть шифровальщик (ransomware).
На момент публикации новости наличие работающих эксплойтов в открытом доступе (так называемый «эксплойт нулевого дня») не подтверждено, данные уточняются. Однако высокая оценка CVSS и простота эксплуатации делают вероятным появление таких инструментов в краткосрочной перспективе. Следовательно, окно для безопасного обновления может быть очень узким.
Администраторам сайтов на WordPress рекомендуется предпринять срочные действия. Во-первых, необходимо проверить, установлен ли у них плагин Integration for Contact Forms and Google Sheets. Во-вторых, если плагин активен, нужно незамедлительно обновить его до последней версии. В-третьих, в качестве дополнительной меры предосторожности можно временно отключить плагин до момента обновления, если это не нарушит критически важные функции сайта.
Данный инцидент служит очередным напоминанием о важности своевременного обновления всех компонентов веб-приложения. Регулярное обновление ядра WordPress, тем и плагинов является базовой, но крайне эффективной практикой кибергигиены. Кроме того, использование решений для мониторинга целостности файлов (WAF) и систем обнаружения вторжений (IDS) может помочь в выявлении подозрительной активности на случай, если атака произойдет до установки заплатки.
Исходный код уязвимости и патч были публично задокументированы в репозитории WordPress. Информация об уязвимости также подробно раскрыта в базе данных Wordfence Threat Intelligence. Ссылки на эти источники позволяют исследователям и разработчикам изучить технические детали проблемы и механизм ее исправления. Таким образом, прозрачность в данном случае способствует более быстрому повышению общей безопасности экосистемы WordPress.
Ссылки
- https://bdu.fstec.ru/vul/2025-16387
- https://www.cve.org/CVERecord?id=CVE-2025-7697
- https://plugins.trac.wordpress.org/browser/integration-for-contact-form-7-and-google-sheets/tags/1.1.1/integration-for-contact-form-7-and-google-sheets.php#L923
- https://plugins.trac.wordpress.org/changeset/3329005/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/a0146f17-35bd-45cf-b9c6-c4fce688efc2
