Уразливість PHP Object Injection у плагіні Boost для WordPress (до версії 2.0.3)
Критична уразливість PHP Object Injection у плагіні Boost для WordPress до версії 2.0.3 може дозволити виконання коду за наявності додаткових плагінів із POP-ланцюжками.
- CVSS
- 9.8 CRITICAL
- EPSS
- 43.13%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Boost для WordPress у версіях до 2.0.3 включно має уразливість PHP Object Injection через десеріалізацію недовірених даних у cookie STYXKEY-BOOST_USER_LOCATION. Уразливість сама по собі неактивна без наявності додаткового плагіна або теми з POP-ланцюжком.
Бізнес-вплив
Якщо на сайті встановлено додатковий плагін або тему, що містить POP-ланцюжок, зловмисник може використати цю уразливість для видалення файлів, отримання конфіденційних даних або виконання довільного коду. Це становить серйозну загрозу для безпеки веб-ресурсу та може призвести до втрати даних або компрометації системи.
Рекомендовані дії адміністратора
Рекомендується перевірити наявність оновлень плагіна Boost та встановити їх, якщо вони доступні. Також слід оцінити встановлені плагіни та теми на наявність POP-ланцюжків, обмежити доступ до cookie STYXKEY-BOOST_USER_LOCATION, провести аудит журналів безпеки та знизити експозицію вразливих компонентів. Пріоритетність заходів має базуватися на наявності додаткових плагінів або тем із POP-ланцюжками.