CVE-2026-25863

Nome do Software Vulnerável e Versões Afetadas Conditional Fields for Contact Form 7 WordPress plugin versões anteriores a 2.6.8

Descrição Um problema de consumo descontrolado de recursos existe na classe Wpcf7cfMailParser. O método hide hidden mail fields regex callback() processa uma contagem de iteração a partir de parâmetros POST fornecidos pelo usuário sem validação ou imposição de limite superior. Atacantes não autenticados podem enviar um número inteiro arbitrariamente grande através de um endpoint da REST API para disparar um loop ilimitado com múltiplas operações preg replace(), resultando no esgotamento da memória do servidor e na interrupção do processo PHP.

Recomendações Atualize o plugin para a versão 2.6.8 ou posterior.