CVE-2025-7696
CriticalSummary
Wtyczka Integracja dla Pipedrive i Contact Form 7, WPForms, Elementor, Ninja Forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.2.3 poprzez deserializację nieufnych danych wejściowych w funkcji verify_field_val(). Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Risk Assessment
Obecność łańcucha POP w wtyczce Contact Form 7 może pozwolić atakującym na usunięcie dowolnych plików, co prowadzi do odmowy usługi lub zdalnego wykonania kodu, gdy plik wp-config.php zostanie usunięty.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemu pod kątem nieautoryzowanych działań.
Original NVD description (English source)
The Integration for Pipedrive and Contact Form 7, WPForms, Elementor, Ninja Forms plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 1.2.3 via deserialization of untrusted input within the verify_field_val() function. This makes it possible for unauthenticated attackers to inject a PHP Object. The additional presence of a POP chain in the Contact Form 7 plugin, which is likely to be used alongside, allows attackers to delete arbitrary files, leading to a denial of service or remote code execution when the wp-config.php file is deleted.

