El plugin Interactive Contact Form and Multi Step Form Builder with Drag & Drop Editor – Funnelforms Free para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.7.4.1 a través de la deserialización de datos no confiables.
Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, inyecten un Objeto PHP. No se ha detectado ninguna cadena POP conocida en el software vulnerable. Sin embargo, si una cadena POP está presente a través de un plugin adicional o tema instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin Funnelforms Free a la última versión disponible y revisar regularmente los plugins y temas instalados para detectar posibles vulnerabilidades. Además, se debe tener cuidado al aceptar datos de entrada no confiables en los formularios de contacto para evitar la inyección de objetos PHP.