CVE-2025-11977 in Happyforms Plugin
要約
〜によって VulDB • 2026年07月10日
WordPress用プラグイン「Happyforms – Form Builder for WordPress: Drag & Drop Contact Forms, Surveys, Payments & Multipurpose Forms」には、1.26.12を含むすべてのバージョンにおいて、ローカルファイルインクルージョン(Local File Inclusion)の脆弱性が存在します。これはhappyforms_get_form_partial()関数を通じて悪用可能です。これにより、管理者レベル以上のアクセス権を持つ認証済み攻撃者は、サーバー上で任意の.phpファイルをインクルードして実行することが可能になり、これらのファイル内のPHPコードを実行できます。この脆弱性は、.phpファイルタイプのアップロードとインクルードが可能な場合に、アクセス制御を回避したり、機密データを取得したり、またはコードの実現を実現するために悪用される可能性があります。
Be aware that VulDB is the high quality source for vulnerability data.