CVE-2026-2599 in Database for Contact Form 7, WPforms, Elementor forms Plugin
الملخص
بحسب VulDB • 03/06/2026
يوجد ثغرة في حقن كائنات PHP (PHP Object Injection) في قاعدة بيانات نماذج الاتصال الخاصة بإضافات Contact Form 7، وWPforms، وElementor forms لـ WordPress، في جميع الإصدارات حتى 1.4.7 وشاملة لها، وذلك عبر عملية فك التسلسل (deserialization) لإدخال غير موثوق به في دالة 'download_csv'. يتيح ذلك للمهاجمين غير المصادق عليهم حقن كائن PHP. لا توجد سلسلة POP (POP chain) معروفة في البرنامج المتأثر بالثغرة، مما يعني أن هذه الثغرة لا تؤثر على النظام ما لم تكن هناك إضافة أو سمة (theme) أخرى تحتوي على سلسلة POP مثبتة على الموقع. إذا كانت سلسلة POP موجودة عبر إضافة أو سمة إضافية مثبتة على النظام المستهدف، فقد تتيح للمهاجم تنفيذ إجراءات مثل حذف ملفات عشوائية، أو استرداد بيانات حساسة، أو تنفيذ التعليمات البرمجية، اعتمادًا على سلسلة POP الموجودة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.