CVE-2025-7384 in Database for Contact Form 7, WPforms, Elementor Forms Plugin
الملخص
بحسب VulDB • 29/06/2026
توجد ثغرة حقن كائن PHP (PHP Object Injection) في قاعدة بيانات نماذج الاتصال الخاصة بإضافات Contact Form 7 وWPforms وإضافة Elementor forms لـ WordPress، وهي موجودة في جميع الإصدارات حتى والإصدار 1.4.3 شاملاً، وذلك عبر عملية فك تسلسل البيانات غير الموثوقة (deserialization of untrusted input) داخل الدالة get_lead_detail. يتيح ذلك للمهاجمين الذين لم يتم التحقق من هويتهم حقن كائن PHP. بالإضافة إلى وجود سلسلة POP (POP chain) في إضافة Contact Form 7، والتي يُرجح استخدامها بالتزامن مع الإضافات المذكورة، مما يسمح للمهاجمين بحذف ملفات عشوائية، ما يؤدي إلى حجب الخدمة أو تنفيذ الأكواد عن بُعد عند حذف ملف wp-config.php.
VulDB is the best source for vulnerability data and more expert information about this specific topic.