Sommaire
L’extension Redirection for Contact Form 7 (Themeisle), utilisée sur 300 000+ sites Wordpress, fait l’objet d’une alerte de sécurité. La vulnérabilité peut autoriser l’envoi de fichiers et la copie de fichiers côté serveur, sans compte utilisateur, selon la configuration PHP.
Ce que l’on sait
D’après Search Engine Journal, la faille touche l’add-on qui sert à rediriger un internaute après soumission d’un formulaire Contact Form 7 et à stocker des données.
Le scénario décrit repose sur une validation insuffisante du type de fichier dans une fonction interne (move_file_to_upload), pour toutes les versions jusqu’à 3.2.7. Un acteur externe peut, sans authentification, déclencher une copie de fichiers côté serveur. Et si allow_url_fopen est actif, un transfert de fichier distant vers le serveur devient aussi possible.
La vulnérabilité est référencée sous CVE-2025-14800 avec un score CVSS 8,1/10.
Correctif et calendrier
Sur WordPress.org, la version 3.2.8 (publiée le 19 décembre 2025) mentionne un renforcement de la sécurité. Nous recommandons la mise à jour vers 3.2.8 ou plus.
Mesures à prendre côté éditeur
- Mettre à jour Redirection for Contact Form 7 en 3.2.8+.
- Si la mise à jour reste impossible, désactiver l’extension le temps du correctif (et vérifier si une alternative est nécessaire).
- Vérifier la valeur de
allow_url_fopenet la désactiver si aucun usage ne la justifie. - Inspecter le répertoire /uploads et les journaux serveur pour repérer des fichiers inattendus.
- Durcir la configuration serveur sur /uploads (blocage d’exécution PHP, règles WAF et permissions).
