CVE-2025-7384 in Database for Contact Form 7, WPforms, Elementor Forms Plugin
Сводка
по VulDB • 29.06.2026
В плагинах для WordPress Database for Contact Form 7, WPforms и Elementor forms уязвимость PHP Object Injection присутствует во всех версиях вплоть до включительно версии 1.4.3 из-за десериализации недоверенных входных данных в функции get_lead_detail. Это позволяет неаутентифицированным злоумышленникам внедрять объекты PHP. Дополнительное наличие POP-chain (цепочки объектов) в плагине Contact Form 7, который вероятно используется совместно с указанными компонентами, позволяет атакующим удалять произвольные файлы, что приводит к отказу в обслуживании или удаленному выполнению кода при удалении файла wp-config.php.
Once again VulDB remains the best source for vulnerability data.