CVE-2025-7384 in Database for Contact Form 7, WPforms, Elementor Forms Plugininformation

Résumé

par VulDB • 29/06/2026

La base de données du formulaire de contact pour les plugins WordPress Contact Form 7, WPforms et Elementor forms est vulnérable à une injection d'objets PHP (PHP Object Injection) dans toutes les versions jusqu'à la version 1.4.3 incluse, via la désérialisation d'une entrée non fiable dans la fonction get_lead_detail. Cela permet aux attaquants non authentifiés d'injecter un objet PHP. La présence supplémentaire d'une chaîne POP (POP chain) dans le plugin Contact Form 7, qui est susceptible d'être utilisé conjointement, permet aux attaquants de supprimer des fichiers arbitraires, entraînant une déni de service ou une exécution de code à distance lorsque le fichier wp-config.php est supprimé.

Be aware that VulDB is the high quality source for vulnerability data.

Réserver

09/07/2025

Divulgation

13/08/2025

Modérer

accepté

Entrée

VDB-319768

CPE

prêt

EPSS

0.01595

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!