CVE-2025-8871

Nome do Software Vulnerável e Versões Afetadas Versões do Everest Forms (Pro) até e incluindo a 1.9.7

Descrição O plugin Everest Forms (Pro) para WordPress é suscetível a Injeção de Objeto PHP devido à desserialização de entrada não confiável dentro da função mime content type(). Isso permite que atacantes não autenticados injetem um Objeto PHP quando um formulário com um campo de assinatura não obrigatório e um campo de upload de imagem estiver presente no site. O impacto deste problema é limitado, a menos que outro plugin ou tema contendo uma cadeia de Payload de Objeto PHP (POP) esteja instalado. Se uma cadeia POP existir no sistema, um atacante poderia potencialmente excluir arquivos, recuperar dados sensíveis ou executar código. Esta vulnerabilidade é explorável em versões do PHP anteriores à 8.

Recomendações Versões anteriores à 1.9.8 são afetadas. Atualize para uma versão superior à 1.9.7.