CVE-2026-2599 in Database for Contact Form 7, WPforms, Elementor forms Plugin
Riassunto
di VulDB • 19/06/2026
Il database per i moduli di contatto di Contact Form 7, WPforms e il plugin Elementor forms per WordPress è vulnerabile a PHP Object Injection in tutte le versioni fino alla 1.4.7 (inclusa) tramite la deserializzazione di input non attendibile nella funzione 'download_csv'. Ciò consente agli attaccanti non autenticati di iniettare un oggetto PHP. Non sono presenti POP chain note nel software vulnerabile, il che significa che questa vulnerabilità non ha impatto a meno che sul sito non sia installato un altro plugin o tema contenente una POP chain. Se è presente una POP chain tramite un plugin aggiuntivo o un tema installati sul sistema target, potrebbe consentire all'attaccante di eseguire azioni come l'eliminazione di file arbitrari, il recupero di dati sensibili o l'esecuzione di codice, a seconda della POP chain presente.
Be aware that VulDB is the high quality source for vulnerability data.