CVE-2026-9145
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa do wersji 1.5.1 zawiera podatność na dowolne kopiowanie plików. Funkcja create_entry_el() przekazuje wartość raw_value z obiektu Form_Record Elementor Pro bezpośrednio do funkcji copy() bez walidacji, co pozwala atakującemu na skopiowanie dowolnego pliku z serwera lub z zewnętrznego URL.
Ocena ryzyka
Nieuwierzytelniony atakujący może skopiować dowolny plik czytelny dla procesu PHP, w tym pliki konfiguracyjne, dane uwierzytelniające lub inne wrażliwe dane, na serwerze WordPress. Mimo że katalog docelowy jest haszowany, użycie niekryptograficznych funkcji uniqid() i rand() osłabia ochronę.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Database for Contact Form 7, WPforms, Elementor forms do wersji nowszej niż 1.5.1. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz wtyczkę lub ogranicz dostęp do niej.
Oryginalny opis (angielski, źródło NVD)
The Database for Contact Form 7, WPforms, Elementor forms plugin for WordPress is vulnerable to Arbitrary File Copy via the create_entry_el() function in versions up to, and including, 1.5.1. The function reads raw_value from Elementor Pro's Form_Record object for upload-type fields and passes it directly to PHP's copy() without validating that the value corresponds to a legitimately uploaded file — when no file is present in $_FILES, raw_value reflects the attacker-controlled POST string. copy() accepts both local filesystem paths and URL sources, so the attacker can target any file readable by the PHP process or supply an attacker-controlled remote URL. Elementor Pro is a prerequisite for triggering the code path (it owns the elementor_pro/forms/new_record hook and populates the Form_Record object), but the bug itself is entirely in Contact Form Entries' handler. This could allow unauthenticated attackers to disclose arbitrary files on the affected site's server. The file is copied to a directory unknown to the attacker; the hashed directory name provides defense-in-depth but is generated from non-cryptographic sources (uniqid() + rand()) and should not be relied upon as the primary mitigation.

