Contact Form 7 5.0.4

Ya está disponible la versión 5.0.4 de Contact Form 7. Esta es una versión de seguridad y mantenimiento y te recomendamos encarecidamente que actualices de inmediato.


Se encontró una vulnerabilidad de escalada de privilegios en la versión 5.0.3 y versiones anteriores de Contact Form 7. Al utilizar esta vulnerabilidad, un usuario que haya accedido con el perfil Colaborador puede potencialmente editar formularios de contacto, a los que solo los usuarios con perfil de Administrador y Editor pueden acceder por defecto. Este problema ha sido informado por Simon Scannell de RIPS Technologies.

Para minimizar el daño de posibles ataques que utilicen esas vulnerabilidades, Contact Form 7 v5.0.4, y superiores, restringirán la función de adjuntar archivos locales. Más concretamente, ya no podrás especificar una ruta de archivo absoluta que se refiera a un archivo situado fuera del directorio wp-content. Aún puedes especificar archivos dentro del directorio wp-content con rutas de archivo relativas o absolutas, por lo que solo necesita cambiar la ubicación de los archivos adjuntos.

Necesita: WordPress 4.8 o superior
Probado hasta: WordPress 4.9.8

» Descarga el plugin «Contact Form 7» desde WordPress.org

Registro de cambios

  • Especifica el argumento capacity_type explícitamente en la llamada register_post_type() para solucionar el problema de vulnerabilidad de escalada de privilegios.
  • Adjunto de archivo local: no permite especificar rutas de archivo absolutas que se refieran a archivos fuera del directorio wp-content.
  • Validador de configuración: añade un elemento de prueba para detectar ajustes de archivos adjuntos no válidos.
  • Corrige un error en la función de reserva de JavaScript para navegadores heredados que no admiten el atributo de marcador de posición HTML5.
  • Casilla de verificación de aceptación: desactiva la característica do-not-store de la etiqueta de formulario.