CVE-2025-7384 in Database for Contact Form 7, WPforms, Elementor Forms Plugininformación

Resumen

por VulDB • 2026-06-30

La base de datos para los formularios de contacto de Contact Form 7, WPforms y el plugin Elementor forms para WordPress es vulnerable a una Inyección de Objetos PHP (PHP Object Injection) en todas las versiones hasta la 1.4.3, incluida esta, debido a la deserialización de entrada no confiable en la función get_lead_detail. Esto permite que atacantes sin autenticar inyecten un objeto PHP. La presencia adicional de una cadena POP (POP chain) en el plugin Contact Form 7, que probablemente se utilice junto con los anteriores, permite a los atacantes eliminar archivos arbitrarios, lo que provoca una denegación de servicio o ejecución remota de código cuando se elimina el archivo wp-config.php.

Be aware that VulDB is the high quality source for vulnerability data.

Reservar

2025-07-09

Divulgación

2025-08-13

Moderación

aceptado

Artículo

VDB-319768

CPE

listo

EPSS

0.01595

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!