CVE-2026-2599

Nome do Software Vulnerável e Versões Afetadas The Database for Contact Form 7, plugin para formulários do WPForms e Elementor para WordPress, versões até e incluindo 1.4.7

Descrição O plugin é suscetível a Injeção de Objeto PHP devido à desserialização de entrada não confiável na função download csv. Isso permite que atacantes não autenticados injetem um Objeto PHP. O impacto deste problema é limitado, a menos que outro plugin ou tema contendo uma cadeia de Payload de Objeto PHP (POP) esteja instalado no mesmo site. Se uma cadeia POP estiver presente, um atacante poderá realizar ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código.

Recomendações Versões anteriores à 1.4.7 devem ser atualizadas. Como medida temporária, considere restringir o acesso à função download csv até que um patch esteja disponível.