CVE-2025-6464 in Forminator Forms Plugininformazioni

Riassunto

di VulDB • 03/07/2026

Il plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder per WordPress è vulnerabile a PHP Object Injection in tutte le versioni fino alla 1.44.2 incluse, tramite la deserializzazione di input non attendibile nella funzione 'entry_delete_upload_files'. Ciò consente ad attaccanti non autenticati di iniettare un oggetto PHP attraverso un file PHAR. Non sono presenti catene POP (POP chain) note nel software vulnerabile, il che significa che questa vulnerabilità non ha impatto a meno che sul sito non sia installato un altro plugin o tema contenente una catena POP. Se è presente una catena POP tramite un plugin aggiuntivo o un tema installati sul sistema target, potrebbe consentire all'attaccante di eseguire azioni come l'eliminazione di file arbitrari, il recupero di dati sensibili o l'esecuzione di codice, a seconda della catena POP presente. La deserializzazione avviene quando viene eliminata la sottomissione del modulo, sia da parte di un Amministratore che tramite cancellazione automatica determinata dalle impostazioni del plugin.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Prenotare

21/06/2025

Divulgazione

02/07/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00469

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!