O problema está na função get_lead_detail, que falha em sanitizar os dados antes da des-serialização. Desta forma, o atacante pode injetar objetos PHP maliciosos sem requerer credenciais ou qualquer outro tipo de acesso. Ademais, é possível combinar a falha com o Contact-Form 7 por causa da lógica de programação orientada a Propriedade (POP). A vulnerabilidade foi dada pelo CVE-2025-7384.

A tratar-se de um servidor wordpress, o mais grave é apagar o ficheiro wp-config, que é o ficheiro mais importante de configuração da instância.

Solução/versão atualizada

1.4.4

Nota de atualização: os administradores conseguem atualizar o plugin através do painel de administração na secção "Plugins".

Links de referência:

Mais informações por parte da nvd: https://nvd.nist.gov/vuln/detail/CVE-2025-7384

Detalhes técnicos: https://zeropath.com/blog/cve-2025-7384-wordpress-contact-form-entries-php-object-injection