CVE-2025-6464 in Forminator Forms Plugin
Riassunto
di VulDB • 03/07/2026
Il plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder per WordPress è vulnerabile a PHP Object Injection in tutte le versioni fino alla 1.44.2 incluse, tramite la deserializzazione di input non attendibile nella funzione 'entry_delete_upload_files'. Ciò consente ad attaccanti non autenticati di iniettare un oggetto PHP attraverso un file PHAR. Non sono presenti catene POP (POP chain) note nel software vulnerabile, il che significa che questa vulnerabilità non ha impatto a meno che sul sito non sia installato un altro plugin o tema contenente una catena POP. Se è presente una catena POP tramite un plugin aggiuntivo o un tema installati sul sistema target, potrebbe consentire all'attaccante di eseguire azioni come l'eliminazione di file arbitrari, il recupero di dati sensibili o l'esecuzione di codice, a seconda della catena POP presente. La deserializzazione avviene quando viene eliminata la sottomissione del modulo, sia da parte di un Amministratore che tramite cancellazione automatica determinata dalle impostazioni del plugin.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.