Krytyczna luka PHP Object Injection w wtyczce Boost dla WordPress (do wersji 2.0.3)
Wtyczka Boost do WordPress ma krytyczną lukę PHP Object Injection do wersji 2.0.3. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
- CVSS
- 9.8 CRITICAL
- EPSS
- 43.13%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Boost dla WordPress do wersji 2.0.3 jest podatna na PHP Object Injection poprzez deserializację niezaufanych danych w ciasteczku STYXKEY-BOOST_USER_LOCATION. Luka umożliwia nieautoryzowanym atakującym wstrzyknięcie obiektu PHP, jednak bez obecności łańcucha POP w innej wtyczce lub motywie nie ma bezpośredniego wpływu.
Wpływ biznesowy
Jeśli na stronie zainstalowano dodatkową wtyczkę lub motyw zawierający łańcuch POP, atakujący może wykorzystać tę lukę do usuwania plików, kradzieży danych lub wykonania złośliwego kodu, co stanowi poważne zagrożenie dla integralności i bezpieczeństwa witryny. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej eliminacji.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie i aktualizację wtyczki Boost do najnowszej wersji udostępnionej przez producenta. W przypadku braku dostępnej poprawki należy ograniczyć ekspozycję serwisu, przeanalizować logi pod kątem podejrzanej aktywności oraz zweryfikować obecność innych wtyczek i motywów mogących zawierać łańcuch POP, aby zminimalizować ryzyko wykorzystania luki.