CVE-2025-8871 in Everest Forms Pro Plugin
요약
\~에 의해 VulDB • 2026. 06. 06.
WordPress용 Everest Forms (Pro) 플러그인은 1.9.7 버전까지 모든 버전에서 mime_content_type() 함수를 통해 신뢰할 수 없는 입력의 역직렬화(Deserialization)로 인해 PHP 객체 주입(PHP Object Injection) 취약점이 존재합니다. 이로 인해 인증되지 않은 공격자가 PHP 객체를 주입할 수 있습니다. 이 취약점은 사이트에 비필수 서명 폼 필드와 이미지 업로드 필드가 함께 있는 폼이 있을 때 인증되지 않은 공격자에 의해 악용될 수 있습니다. 취약한 소프트웨어에는 알려진 POP(Propagated Object Property) 체인이 존재하지 않으므로, 사이트에 POP 체인을 포함하는 다른 플러그인이나 테마가 설치되어 있지 않은 한 이 취약점은 영향을 미치지 않습니다. 대상 시스템에 추가로 설치된 플러그인이나 테마를 통해 POP 체인이 존재하는 경우, 공격자는 존재하는 POP 체인에 따라 임의 파일 삭제, 민감한 데이터 검색 또는 코드 실행과 같은 작업을 수행할 수 있습니다. 이 취약점은 PHP 8 이전 버전에서만 악용 가능합니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.