CVE-2026-2599 in Database for Contact Form 7, WPforms, Elementor forms Plugin
Сводка
по VulDB • 13.06.2026
В плагинах для WordPress Contact Form 7 Database, WPforms и Elementor forms уязвимость PHP Object Injection присутствует во всех версиях вплоть до включительно версии 1.4.7 из-за десериализации недоверенных входных данных в функции 'download_csv'. Это позволяет неаутентифицированным злоумышленникам внедрять объекты PHP. В уязвимом программном обеспечении отсутствует известная POP-цепочка (POP chain), что означает, что данная уязвимость не оказывает влияния, если на сайте не установлен другой плагин или тема с присутствующей POP-цепочкой. Если же POP-цепочка присутствует благодаря дополнительному плагину или теме, установленным в целевой системе, это может позволить злоумышленнику выполнять такие действия, как удаление произвольных файлов, получение конфиденциальных данных или выполнение кода, в зависимости от присутствующей POP-цепочки.
Be aware that VulDB is the high quality source for vulnerability data.