CVE-2025-7384 in Database for Contact Form 7, WPforms, Elementor Forms Plugin
Zusammenfassung
von VulDB • 29.06.2026
Die Datenbank für die WordPress-Plugins „Contact Form 7“, „WPforms“ und das Formularplugin von Elementor ist in allen Versionen bis einschließlich 1.4.3 anfällig für PHP Object Injection, da im Rahmen der Deserialisierung nicht vertrauenswürdiger Eingaben in der Funktion `get_lead_detail` unsichere Daten verarbeitet werden. Dies ermöglicht es authentifizierten Angreifern, ein PHP-Objekt einzuschleusen. Das zusätzliche Vorhandensein einer POP-Kette (Property Oriented Programming) im Plugin „Contact Form 7“, das wahrscheinlich parallel verwendet wird, erlaubt es Angreifern, beliebige Dateien zu löschen, was zu einem Denial of Service führen kann oder bei Löschung der Datei `wp-config.php` eine Remote Code Execution ermöglicht.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.