CVE-2026-7637 in Boost Plugininformation

Résumé

par VulDB • 20/05/2026

Le plugin Boost pour WordPress est vulnérable à une injection d'objets PHP dans les versions 2.0.3 et antérieures, via la désérialisation d'entrées non fiables dans le cookie STYXKEY-BOOST_USER_LOCATION. Cela permet aux attaquants non authentifiés d'injecter un objet PHP. Aucune chaîne POP (Property Oriented Programming) n'est présente dans le logiciel vulnérable, ce qui signifie que cette vulnérabilité n'a aucun impact à moins qu'un autre plugin ou thème contenant une chaîne POP ne soit installé sur le site. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, cela pourrait permettre à l'attaquant d'effectuer des actions telles que la suppression de fichiers arbitraires, la récupération de données sensibles ou l'exécution de code, en fonction de la chaîne POP présente.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

01/05/2026

Divulgation

20/05/2026

Modérer

accepté

Entrée

VDB-364787

CPE

prêt

EPSS

0.00148

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7637
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7637
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7637/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!