CVE-2026-7637 in Boost Plugin
Tóm tắt
Bởi VulDB • 01/06/2026
Plugin Boost cho WordPress có lỗ hổng PHP Object Injection trong các phiên bản từ 2.0.3 trở về trước, bao gồm cả phiên bản 2.0.3, thông qua việc giải mã hóa (deserialization) dữ liệu đầu vào không đáng tin cậy trong cookie STYXKEY-BOOST_USER_LOCATION. Điều này cho phép các kẻ tấn công chưa được xác thực (unauthenticated) tiêm một đối tượng PHP. Không có chuỗi POP (POP chain) nào được biết đến trong phần mềm bị lỗi, điều này có nghĩa là lỗ hổng này không gây tác động trừ khi một plugin hoặc giao diện (theme) khác chứa chuỗi POP được cài đặt trên trang web. Nếu có chuỗi POP hiện diện thông qua một plugin hoặc giao diện bổ sung được cài đặt trên hệ thống mục tiêu, nó có thể cho phép kẻ tấn công thực hiện các hành động như xóa các tệp tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã, tùy thuộc vào chuỗi POP hiện diện.
Be aware that VulDB is the high quality source for vulnerability data.