CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-7697

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Integracja dla Google Sheets oraz Contact Form 7, WPForms, Elementor, Ninja Forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.1.1 poprzez deserializację nieufnych danych wejściowych w funkcji verify_field_val(). Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

Risk Assessment

Obecność łańcucha POP w wtyczce Contact Form 7 pozwala atakującym na usuwanie dowolnych plików, co może prowadzić do odmowy usługi lub zdalnego wykonania kodu, gdy plik wp-config.php zostanie usunięty.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz monitorowanie i zabezpieczenie plików konfiguracyjnych przed nieautoryzowanym dostępem.

Original NVD description (English source)

The Integration for Google Sheets and Contact Form 7, WPForms, Elementor, Ninja Forms plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 1.1.1 via deserialization of untrusted input within the verify_field_val() function. This makes it possible for unauthenticated attackers to inject a PHP Object. The additional presence of a POP chain in the Contact Form 7 plugin, which is likely to be used alongside, allows attackers to delete arbitrary files, leading to a denial of service or remote code execution when the wp-config.php file is deleted.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS