PT-2026-40565 · WordPress · Coreactivity: Activity Logging

Publicado

2026-05-13

·

Atualizado

2026-05-17

·

CVE-2026-7635

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas coreActivity: Activity Logging for WordPress versões anteriores a 3.1
Descrição O plugin é suscetível a PHP Object Injection, uma condição em que dados não confiáveis são passados para uma função de desserialização, potencialmente permitindo a execução de código arbitrário ou causando falhas na aplicação. O problema ocorre porque o software não valida ou remove a sintaxe de serialização PHP do cabeçalho HTTP User-Agent antes de armazená-lo na tabela logmeta. Posteriormente, a função query metas() chama maybe unserialize() em cada meta value recuperado sem verificar a origem dos dados. Atacantes não autenticados podem injetar um payload serializado PHP manipulado via cabeçalho User-Agent durante eventos registrados. Quando um administrador acessa a página de Logs, esse payload é passado para a função DeviceDetector::setUserAgent(), disparando um Fatal TypeError que resulta em uma Negação de Serviço (DoS) persistente, bloqueando o acesso do administrador à página de Logs.
Recomendações Atualize para uma versão posterior a 3.0.

Exploit

Correção

DoS

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-7635

Produtos afetados

Coreactivity: Activity Logging