+11 голос |
Популярний плагін WordPress «Database for Contact Form 7, WPforms, Elementor forms» від видавця CRM Perks, за наявними даними, використовується більш ніж 70 тис. веб-сайтів по всьому світу. Уразливість CVE-2025-7384 (оцінка CVSS: 9,8) викликана неправильною обробкою вхідних даних у функції get lead detail плагіна, де введення користувача не проходить належного очищення перед десеріалізацією. Неавторизований зловмисник може скористатися цією уразливістю для впровадження шкідливих PHP-об’єктів з метою виконання коду, повідомляє Oberig IT.
Ризик збільшується в разі використання цього плагіна разом з Contact Form 7, який є безкоштовним конструктором контактних форм, що використовує ланцюжок Property-Oriented Programming (POP). Зловмисники можуть об’єднати вразливості обох продуктів, які часто використовуються разом, щоб отримати можливість довільного видалення файлів, наприклад важливих, таких як wp-config.php. Атаки можуть призвести до відмови в обслуговуванні або, при деяких конфігураціях сервера, потенційно створити можливості для віддаленого виконання коду.
Проблема стосується всіх версій до 1.4.4. Власникам веб-сайтів рекомендується негайно оновити версію та провести аудит і моніторинг файлової системи для виявлення непередбачених змін.
Стратегія охолодження ЦОД для епохи AI
+11 голос |