CVE-2024-10587丨Funnelforms Free <= 3.7.4.1 - Authenticated (Contributor+) PHP Object Injection

Funnelforms Free <= 3.7.4.1 - Authenticated (Contributor+) PHP Object Injection (CVE-2024-10587) CVE编号 CVE-2024-10587 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 WordPress的Funnelforms免费插件中的交互式联系表格和多步表单构建器与拖拽编辑器存在PHP对象注入漏洞，该漏洞存在于所有版本，包括最高版本3.7.4.1。漏洞源于不可信输入的反序列化。这使得拥有贡献者级别权限及以上的认证攻击者可以注入PHP对象。在目标系统中安装的附加插件或主题中不存在已知的POP链，但如果存在POP链，攻击者可能会删除任意文件、检索敏感数据或执行代码。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://wordpress.org/plugins/funnelforms-free/ https://www.wordfence.com/threat-intel/vulnerabilities/id/701e6afe-08fa-49c7-...