CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-7696

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Integracja dla Pipedrive i Contact Form 7, WPForms, Elementor, Ninja Forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.2.3 poprzez deserializację nieufnych danych wejściowych w funkcji verify_field_val(). Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

Risk Assessment

Obecność łańcucha POP w wtyczce Contact Form 7 może pozwolić atakującym na usunięcie dowolnych plików, co prowadzi do odmowy usługi lub zdalnego wykonania kodu, gdy plik wp-config.php zostanie usunięty.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemu pod kątem nieautoryzowanych działań.

Original NVD description (English source)

The Integration for Pipedrive and Contact Form 7, WPForms, Elementor, Ninja Forms plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 1.2.3 via deserialization of untrusted input within the verify_field_val() function. This makes it possible for unauthenticated attackers to inject a PHP Object. The additional presence of a POP chain in the Contact Form 7 plugin, which is likely to be used alongside, allows attackers to delete arbitrary files, leading to a denial of service or remote code execution when the wp-config.php file is deleted.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS