Krytyczna luka PHP Object Injection w wtyczce Everest Forms dla WordPress

Krytyczna luka PHP Object Injection w wtyczce Everest Forms do WordPressa umożliwia zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja.
CVE-2026-3296CVSS 9.8Web

Krytyczna luka PHP Object Injection w wtyczce Everest Forms dla WordPress

Krytyczna luka PHP Object Injection w wtyczce Everest Forms do WordPressa umożliwia zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja.

CVSS
9.8 CRITICAL
EPSS
54.64%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Everest Forms do WordPressa do wersji 3.4.3 jest podatna na PHP Object Injection poprzez niebezpieczne deserializowanie danych z metadanych wpisów formularzy. Luka umożliwia nieautoryzowanym atakującym wstrzyknięcie złośliwego obiektu PHP przez dowolne publiczne pole formularza.

Wpływ biznesowy

Atakujący mogą wykorzystać tę lukę do wykonania złośliwego kodu na serwerze, co może prowadzić do przejęcia kontroli nad stroną WordPress i jej danymi. Zagrożenie jest krytyczne, zwłaszcza dla administratorów przeglądających wpisy formularzy, gdyż wtedy następuje deserializacja niezweryfikowanych danych. Wpływa to na bezpieczeństwo całej infrastruktury hostingowej i może skutkować poważnymi incydentami.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację wtyczki Everest Forms do wersji po 3.4.3, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do formularzy oraz monitoruj logi pod kątem podejrzanych aktywności. Przeglądaj i minimalizuj uprawnienia administratorów oraz rozważ zastosowanie dodatkowych mechanizmów zabezpieczających przed deserializacją niezweryfikowanych danych.

Źródła