Duizenden WordPress-sites maken gebruik van een plug-in met een kritieke kwetsbaarheid die remote code execution (RCE) door een ongeauthenticeerde aanvaller mogelijk maakt. Een beveiligingsupdate is beschikbaar, maar de kwetsbare websites hebben die niet geïnstalleerd. Het probleem is aanwezig in HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder.

Via de plug-in kunnen beheerders van WordPress-sites eenvoudig een contactformulier voor hun website maken. Meer dan tienduizend websites maken actief gebruik van de plug-in. Drie kritieke kwetsbaarheden in de plug-in laten een aanvaller op afstand willekeurige code uitvoeren en de website overnemen. Het eerste probleem is de mogelijkheid voor aanvallers om willekeurige bestanden naar de webserver te uploaden. De impact van deze kwetsbaarheid (CVE-2025-7340) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

De andere twee kritieke kwetsbaarheden (CVE-2025-7341 en CVE-2025-7360) maken het voor ongeauthenticeerde aanvallers mogelijk om willekeurige bestanden op de server te verwijderen of te verplaatsen. Volgens securitybedrijf Wordfence kan dit tot remote code execution leiden als het juiste bestand wordt verwijderd, zoals wp-config.php. Deze beveiligingslekken hebben beide een impactscore van 9.1.

De drie problemen zijn verholpen in versie 2.2.2 die op 10 juli verscheen. Volgens cijfers van WordPress.org draait meer dan zestig procent van de WordPress-sites een kwetsbare versie van de plug-in. Securitybedrijf Patchstack waarschuwt voor CVE-2025-7340 en houdt rekening met grootschalig misbruik.