CVE-2024-10587 in Funnelforms Free Pluginالمعلومات

الملخص

بحسب VulDB • 26/06/2026

يحتوي مكون WordPress الإضافي Funnelforms Free، الذي يتضمن نموذج اتصال تفاعليًا ومُنشئ نماذج متعدد الخطوات مع محرر السحب والإفلات (Drag & Drop Editor)، على ثغرة حقن كائن PHP في جميع الإصدارات حتى 3.7.4.1 وشاملة لها، وذلك عبر تجزئة بيانات الإدخال غير الموثوق بها (deserialization of untrusted input). يتيح ذلك للمهاجمين الذين تمت مصادقتهم ولديهم وصول بمستوى "مُساهم" (Contributor) فأعلى حقن كائن PHP. لا توجد سلسلة POP معروفة موجودة في البرنامج المتأثر بالثغرة. ومع ذلك، إذا كانت هناك سلسلة POP متاحة عبر مكون إضافي أو سمة إضافية مثبتة على النظام المستهدف، فقد يسمح ذلك للمهاجم بحذف ملفات عشوائية، واسترجاع بيانات حساسة، أو تنفيذ الأكواد البرمجية.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

حجز

31/10/2024

إفشاء

04/12/2024

الاعتدال

تمت الموافقة

إدخال

VDB-286759

EPSS

0.00605

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to know what is going to be exploited?

We predict KEV entries!