CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-7384

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.3 poprzez deserializację nieufnych danych wejściowych w funkcji get_lead_detail. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

Risk Assessment

Obecność łańcucha POP w wtyczce Contact Form 7 pozwala atakującym na usuwanie dowolnych plików, co może prowadzić do odmowy usługi lub zdalnego wykonania kodu, gdy plik wp-config.php zostanie usunięty.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemu pod kątem nieautoryzowanych działań.

Original NVD description (English source)

The Database for Contact Form 7, WPforms, Elementor forms plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 1.4.3 via deserialization of untrusted input in the get_lead_detail function. This makes it possible for unauthenticated attackers to inject a PHP Object. The additional presence of a POP chain in the Contact Form 7 plugin, which is likely to be used alongside, allows attackers to delete arbitrary files, leading to a denial of service or remote code execution when the wp-config.php file is deleted.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS