PT-2026-40565 · WordPress · Coreactivity: Activity Logging
Publicado
2026-05-13
·
Atualizado
2026-05-17
·
CVE-2026-7635
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
coreActivity: Activity Logging for WordPress versões anteriores a 3.1
Descrição
O plugin é suscetível a PHP Object Injection, uma condição em que dados não confiáveis são passados para uma função de desserialização, potencialmente permitindo a execução de código arbitrário ou causando falhas na aplicação. O problema ocorre porque o software não valida ou remove a sintaxe de serialização PHP do cabeçalho HTTP User-Agent antes de armazená-lo na tabela
logmeta. Posteriormente, a função query metas() chama maybe unserialize() em cada meta value recuperado sem verificar a origem dos dados. Atacantes não autenticados podem injetar um payload serializado PHP manipulado via cabeçalho User-Agent durante eventos registrados. Quando um administrador acessa a página de Logs, esse payload é passado para a função DeviceDetector::setUserAgent(), disparando um Fatal TypeError que resulta em uma Negação de Serviço (DoS) persistente, bloqueando o acesso do administrador à página de Logs.Recomendações
Atualize para uma versão posterior a 3.0.
Exploit
Correção
DoS
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Coreactivity: Activity Logging