CVE-2025-7384

Nome do Software Vulnerável e Versões Afetadas: Plugin Database for Contact Form 7, WPforms, Elementor forms para WordPress versões até e incluindo a 1.4.3

Descrição: O plugin é suscetível a uma Injeção de Objetos PHP devido à desserialização de entrada não confiável na função get lead detail. Isso permite que atacantes não autenticados injetem um Objeto PHP. A presença de uma cadeia de Injeção de Objetos PHP (POP) no plugin Contact Form 7, frequentemente usado em conjunto com este plugin, permite que atacantes excluam arquivos arbitrários, potencialmente levando a uma negação de serviço ou execução remota de código, particularmente quando o arquivo wp-config.php é alvejado. Estima-se que aproximadamente 70.000 sites sejam afetados.

Recomendações: Versões anteriores à 1.4.4 são vulneráveis. Atualize para uma versão superior à 1.4.3.