Критична вразливість PHP Object Injection у плагіні Everest Forms для WordPress

Критична вразливість PHP Object Injection у плагіні Everest Forms для WordPress до версії 3.4.3. Рекомендується оновлення та обмеження доступу.
CVE-2026-3296CVSS 9.8Web

Критична вразливість PHP Object Injection у плагіні Everest Forms для WordPress

Критична вразливість PHP Object Injection у плагіні Everest Forms для WordPress до версії 3.4.3. Рекомендується оновлення та обмеження доступу.

CVSS
9.8 CRITICAL
EPSS
54.64%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Плагін Everest Forms для WordPress до версії 3.4.3 включно містить критичну вразливість PHP Object Injection через десеріалізацію недовірених даних з метаданих форм. Це дозволяє неавторизованим зловмисникам впроваджувати шкідливі об'єкти PHP через будь-яке публічне поле форми.

Бізнес-вплив

Вразливість може призвести до виконання довільного коду на сервері при перегляді записів адміністратором, що ставить під загрозу безпеку вебсайту та даних. Це критично для власників інфраструктури, які використовують Everest Forms, оскільки атака не потребує автентифікації і може призвести до повного контролю над сайтом.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень плагіна Everest Forms від розробника та встановити їх. Якщо оновлення недоступні, слід обмежити доступ до форм, провести аудит логів на предмет підозрілої активності та мінімізувати експозицію сайту. Важливо також інформувати адміністративний персонал про потенційні ризики при перегляді записів форм.

Джерела