CVE-2025-3439

Nome do Software Vulnerável e Versões Afetadas: Everest Forms – Construtor de Formulários de Contato, Quiz, Pesquisa, Newsletter e Pagamento para WordPress versões até a 3.1.1, inclusive

Descrição: A vulnerabilidade permite que atacantes não autenticados injetem um Objeto PHP via desserialização de entrada não confiável a partir do parâmetro field value. Isso possibilita que os atacantes realizem ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da presença de uma cadeia POP em plugins ou temas adicionais instalados no site. Mais de 100.000 sites estão em risco potencial.

Recomendações: Para versões até a 3.1.1, inclusive, considere desabilitar o parâmetro field value ou restringir o acesso a ele até que um patch esteja disponível. Como solução temporária, evite usar o parâmetro field value no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.