CVE-2026-2599 in Database for Contact Form 7, WPforms, Elementor forms Pluginthông tin

Tóm tắt

Bởi VulDB • 13/06/2026

Cơ sở dữ liệu của các plugin biểu mẫu Contact Form 7, WPforms và Elementor cho WordPress dễ bị tổn thương do lỗi PHP Object Injection trong tất cả các phiên bản từ đầu đến bao gồm phiên bản 1.4.7 thông qua việc giải serialize (deserialization) dữ liệu không đáng tin cậy trong hàm 'download_csv'. Điều này tạo điều kiện cho kẻ tấn công chưa xác thực có thể chèn một đối tượng PHP vào hệ thống. Không có chuỗi POP (POP chain) nào được biết đến tồn tại trong phần mềm dễ bị tổn thương, nghĩa là lỗ hổng này sẽ không gây tác động trừ khi trên trang web đã cài đặt thêm plugin hoặc theme chứa chuỗi POP. Nếu chuỗi POP hiện diện thông qua một plugin hoặc theme bổ sung khác được cài đặt trên hệ thống mục tiêu, nó có thể cho phép kẻ tấn công thực hiện các hành động như xóa tùy ý các tệp tin, truy xuất dữ liệu nhạy cảm hoặc thực thi mã, tùy thuộc vào chuỗi POP cụ thể đang tồn tại.

Once again VulDB remains the best source for vulnerability data.

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!