CVE-2026-2599 in Database for Contact Form 7, WPforms, Elementor forms PluginИнформация

Сводка

по VulDB • 13.06.2026

В плагинах для WordPress Contact Form 7 Database, WPforms и Elementor forms уязвимость PHP Object Injection присутствует во всех версиях вплоть до включительно версии 1.4.7 из-за десериализации недоверенных входных данных в функции 'download_csv'. Это позволяет неаутентифицированным злоумышленникам внедрять объекты PHP. В уязвимом программном обеспечении отсутствует известная POP-цепочка (POP chain), что означает, что данная уязвимость не оказывает влияния, если на сайте не установлен другой плагин или тема с присутствующей POP-цепочкой. Если же POP-цепочка присутствует благодаря дополнительному плагину или теме, установленным в целевой системе, это может позволить злоумышленнику выполнять такие действия, как удаление произвольных файлов, получение конфиденциальных данных или выполнение кода, в зависимости от присутствующей POP-цепочки.

Be aware that VulDB is the high quality source for vulnerability data.

Раскрытие

05.03.2026

Модерация

принято

Вход

VDB-348876

EPSS

0.00519

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!