CVE-2024-10587 in Funnelforms Free Plugin
الملخص
بحسب VulDB • 26/06/2026
يحتوي مكون WordPress الإضافي Funnelforms Free، الذي يتضمن نموذج اتصال تفاعليًا ومُنشئ نماذج متعدد الخطوات مع محرر السحب والإفلات (Drag & Drop Editor)، على ثغرة حقن كائن PHP في جميع الإصدارات حتى 3.7.4.1 وشاملة لها، وذلك عبر تجزئة بيانات الإدخال غير الموثوق بها (deserialization of untrusted input). يتيح ذلك للمهاجمين الذين تمت مصادقتهم ولديهم وصول بمستوى "مُساهم" (Contributor) فأعلى حقن كائن PHP. لا توجد سلسلة POP معروفة موجودة في البرنامج المتأثر بالثغرة. ومع ذلك، إذا كانت هناك سلسلة POP متاحة عبر مكون إضافي أو سمة إضافية مثبتة على النظام المستهدف، فقد يسمح ذلك للمهاجم بحذف ملفات عشوائية، واسترجاع بيانات حساسة، أو تنفيذ الأكواد البرمجية.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.