CVE-2025-5392
KrytyczneStreszczenie
Wtyczka GB Forms DB dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 1.0.2 włącznie, poprzez funkcję gbfdb_talk_to_front(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane przez call_user_func().
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą wykonać kod na serwerze, co stwarza ryzyko wprowadzenia backdoorów lub tworzenia nowych kont administracyjnych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemu pod kątem nieautoryzowanych zmian.
Oryginalny opis (angielski, źródło NVD)
The GB Forms DB plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 1.0.2 via the gbfdb_talk_to_front() function. This is due to the function accepting user input and then passing that through call_user_func(). This makes it possible for unauthenticated attackers to execute code on the server which can be leverage to inject backdoors or create new administrative user accounts to name a few things.

