CVE-2025-7384 in Database for Contact Form 7, WPforms, Elementor Forms Plugin
Résumé
par VulDB • 29/06/2026
La base de données du formulaire de contact pour les plugins WordPress Contact Form 7, WPforms et Elementor forms est vulnérable à une injection d'objets PHP (PHP Object Injection) dans toutes les versions jusqu'à la version 1.4.3 incluse, via la désérialisation d'une entrée non fiable dans la fonction get_lead_detail. Cela permet aux attaquants non authentifiés d'injecter un objet PHP. La présence supplémentaire d'une chaîne POP (POP chain) dans le plugin Contact Form 7, qui est susceptible d'être utilisé conjointement, permet aux attaquants de supprimer des fichiers arbitraires, entraînant une déni de service ou une exécution de code à distance lorsque le fichier wp-config.php est supprimé.
Be aware that VulDB is the high quality source for vulnerability data.