CVE-2025-9260 in Fluent Forms Plugininformação

Sumário

de VulDB • 22/05/2026

O plugin Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder para WordPress é vulnerável a PHP Object Injection nas versões 5.1.16 a 6.1.1 devido à desserialização de entrada não confiável na função parseUserProperties. Isso permite que atacantes autenticados, com acesso de nível Subscriber ou superior, injetem um objeto PHP. A presença adicional de uma POP chain permite que os atacantes leiam arquivos arbitrários. Se allow_url_include estiver habilitado no servidor, a execução remota de código é possível. Embora o fornecedor tenha corrigido essa vulnerabilidade na versão 6.1.0, o patch causou um erro fatal no código vulnerável devido à falta de importação de uma classe, portanto, consideramos a versão 6.1.2 como a mais completa e melhor corrigida.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgação

03/09/2025

Moderação

aceite

Entrada

VDB-322174

CPE

pronto

EPSS

0.00704

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-9260
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-9260
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-9260/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!