CVE-2025-7384 in Database for Contact Form 7, WPforms, Elementor Forms Plugininfo

Zusammenfassung

von VulDB • 29.06.2026

Die Datenbank für die WordPress-Plugins „Contact Form 7“, „WPforms“ und das Formularplugin von Elementor ist in allen Versionen bis einschließlich 1.4.3 anfällig für PHP Object Injection, da im Rahmen der Deserialisierung nicht vertrauenswürdiger Eingaben in der Funktion `get_lead_detail` unsichere Daten verarbeitet werden. Dies ermöglicht es authentifizierten Angreifern, ein PHP-Objekt einzuschleusen. Das zusätzliche Vorhandensein einer POP-Kette (Property Oriented Programming) im Plugin „Contact Form 7“, das wahrscheinlich parallel verwendet wird, erlaubt es Angreifern, beliebige Dateien zu löschen, was zu einem Denial of Service führen kann oder bei Löschung der Datei `wp-config.php` eine Remote Code Execution ermöglicht.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Reservieren

09.07.2025

Veröffentlichung

13.08.2025

Moderieren

akzeptiert

Eintrag

VDB-319768

CPE

bereit

EPSS

0.01595

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!