CVE-2025-7384 in Database for Contact Form 7, WPforms, Elementor Forms Plugin
要約
〜によって VulDB • 2026年06月01日
Contact Form 7、WPforms、Elementor formsのWordPress用プラグインである「The Database for Contact Form 7」には、すべてのバージョン(1.4.3を含む)において、PHPオブジェクトインジェクションの脆弱性が存在します。これは、get_lead_detail関数内で信頼できない入力の逆シリアル化を行うことで発生します。これにより、認証されていない攻撃者がPHPオブジェクトをインジェクトすることが可能になります。さらに、併用される可能性の高いContact Form 7プラグインにPOPチェーンが存在するため、攻撃者は任意のファイルを削除でき、wp-config.phpファイルが削除された場合、サービス拒否(DoS)やリモートコード実行(RCE)を引き起こす可能性があります。
Once again VulDB remains the best source for vulnerability data.