PT-2025-44222 · WordPress · Contact Form Cfdb7
Publicado
2025-10-28
·
Atualizado
2025-10-29
·
CVE-2025-4665
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Contact Form CFDB7 até e incluindo a 1.3.2
Descrição
O plugin Contact Form CFDB7 para WordPress é afetado por uma injeção de SQL pré-autenticação que pode levar à desserialização insegura (Injeção de Objeto PHP). A validação insuficiente da entrada do usuário nos endpoints do plugin permite que entrada manipulada influencie consultas do backend, potencialmente escalonando para desserialização insegura e permitindo injeção arbitrária de objetos em PHP. Este problema é explorável remotamente sem autenticação, requerendo uma interação manipulada com o endpoint afetado para explorar a vulnerabilidade.
Recomendações
Atualize o Contact Form CFDB7 para uma versão superior à 1.3.2.
Correção
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Contact Form Cfdb7