CVE-2026-7637

Nome do Software Vulnerável e Versões Afetadas Boost plugin for WordPress versões anteriores a 2.0.4

Descrição O plugin está sujeito a PHP Object Injection devido à desserialização de entradas não confiáveis. Atacantes remotos não autenticados podem injetar um Objeto PHP ao passar uma string manipulada através do cookie STYXKEY-BOOST USER LOCATION. Este problema requer que uma cadeia de Property-Oriented Programming (POP)—uma sequência de gadgets (trechos de código existentes) usados para atingir um objetivo específico—esteja presente em outro plugin ou tema instalado para ter impacto. Se tal cadeia existir, poderá permitir que o atacante execute código, recupere dados sensíveis ou exclua arquivos arbitrários.

Recomendações Atualize para a versão 2.0.4. Como medida paliativa temporária, restrinja ou sanitize o cookie STYXKEY-BOOST USER LOCATION para minimizar o risco de exploração.