Krytyczna luka PHP Object Injection w wtyczce Boost dla WordPress (do wersji 2.0.3)

Wtyczka Boost do WordPress ma krytyczną lukę PHP Object Injection do wersji 2.0.3. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
CVE-2026-7637CVSS 9.8Web

Krytyczna luka PHP Object Injection w wtyczce Boost dla WordPress (do wersji 2.0.3)

Wtyczka Boost do WordPress ma krytyczną lukę PHP Object Injection do wersji 2.0.3. Sprawdź zalecenia bezpieczeństwa i aktualizacje.

CVSS
9.8 CRITICAL
EPSS
43.13%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Boost dla WordPress do wersji 2.0.3 jest podatna na PHP Object Injection poprzez deserializację niezaufanych danych w ciasteczku STYXKEY-BOOST_USER_LOCATION. Luka umożliwia nieautoryzowanym atakującym wstrzyknięcie obiektu PHP, jednak bez obecności łańcucha POP w innej wtyczce lub motywie nie ma bezpośredniego wpływu.

Wpływ biznesowy

Jeśli na stronie zainstalowano dodatkową wtyczkę lub motyw zawierający łańcuch POP, atakujący może wykorzystać tę lukę do usuwania plików, kradzieży danych lub wykonania złośliwego kodu, co stanowi poważne zagrożenie dla integralności i bezpieczeństwa witryny. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej eliminacji.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie i aktualizację wtyczki Boost do najnowszej wersji udostępnionej przez producenta. W przypadku braku dostępnej poprawki należy ograniczyć ekspozycję serwisu, przeanalizować logi pod kątem podejrzanej aktywności oraz zweryfikować obecność innych wtyczek i motywów mogących zawierać łańcuch POP, aby zminimalizować ryzyko wykorzystania luki.

Źródła