Katalog CVE

CVE-2025-7384

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.3 poprzez deserializację nieufnych danych wejściowych w funkcji get_lead_detail. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

Ocena ryzyka

Obecność łańcucha POP w wtyczce Contact Form 7 pozwala atakującym na usuwanie dowolnych plików, co może prowadzić do odmowy usługi lub zdalnego wykonania kodu, gdy plik wp-config.php zostanie usunięty.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemu pod kątem nieautoryzowanych działań.

Oryginalny opis (angielski, źródło NVD)

The Database for Contact Form 7, WPforms, Elementor forms plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 1.4.3 via deserialization of untrusted input in the get_lead_detail function. This makes it possible for unauthenticated attackers to inject a PHP Object. The additional presence of a POP chain in the Contact Form 7 plugin, which is likely to be used alongside, allows attackers to delete arbitrary files, leading to a denial of service or remote code execution when the wp-config.php file is deleted.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS