CVE-2026-2599 in Database for Contact Form 7, WPforms, Elementor forms Pluginالمعلومات

الملخص

بحسب VulDB • 03/06/2026

يوجد ثغرة في حقن كائنات PHP (PHP Object Injection) في قاعدة بيانات نماذج الاتصال الخاصة بإضافات Contact Form 7، وWPforms، وElementor forms لـ WordPress، في جميع الإصدارات حتى 1.4.7 وشاملة لها، وذلك عبر عملية فك التسلسل (deserialization) لإدخال غير موثوق به في دالة 'download_csv'. يتيح ذلك للمهاجمين غير المصادق عليهم حقن كائن PHP. لا توجد سلسلة POP (POP chain) معروفة في البرنامج المتأثر بالثغرة، مما يعني أن هذه الثغرة لا تؤثر على النظام ما لم تكن هناك إضافة أو سمة (theme) أخرى تحتوي على سلسلة POP مثبتة على الموقع. إذا كانت سلسلة POP موجودة عبر إضافة أو سمة إضافية مثبتة على النظام المستهدف، فقد تتيح للمهاجم تنفيذ إجراءات مثل حذف ملفات عشوائية، أو استرداد بيانات حساسة، أو تنفيذ التعليمات البرمجية، اعتمادًا على سلسلة POP الموجودة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

إفشاء

05/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-348876

EPSS

0.00519

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Interested in the pricing of exploits?

See the underground prices here!