CVE-2026-7635: PHP Object Injection en WordPress Activity Logging
Plataforma
wordpress
Componente
coreactivity
Corregido en
3.1
El plugin coreActivity: Activity Logging para WordPress es vulnerable a una inyección de objetos PHP. Esta vulnerabilidad, presente en todas las versiones hasta la 3.0, se debe a una validación insuficiente del encabezado HTTP User-Agent. Un atacante no autenticado puede explotar esta falla inyectando un payload PHP serializado, lo que podría resultar en la ejecución de código arbitrario en el servidor. La versión 3.1 corrige esta vulnerabilidad.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Impacto y Escenarios de Ataque
La inyección de objetos PHP permite a un atacante ejecutar código PHP arbitrario en el servidor donde se ejecuta el plugin Activity Logging. Esto puede llevar a la toma de control completa del sitio web WordPress, incluyendo la modificación de archivos, la exfiltración de datos sensibles (como credenciales de usuario, información de clientes, o datos de la base de datos), y la instalación de puertas traseras para acceso futuro. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el riesgo, ya que cualquier persona puede intentar la inyección. Esta vulnerabilidad es similar en concepto a otras inyecciones de código PHP, pero la especificidad de la manipulación del encabezado User-Agent la hace particularmente insidiosa.
Contexto de Explotación
La vulnerabilidad CVE-2026-7635 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media, dado que la vulnerabilidad no requiere autenticación y la inyección del payload es relativamente sencilla. No se han reportado campañas de explotación activas conocidas al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
Mitigación y Workarounds
La mitigación principal es actualizar el plugin coreActivity: Activity Logging a la versión 3.1 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización a la versión 3.1 causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de intentar una reversión a una versión anterior del plugin (si es posible). Como medida temporal, se puede implementar un Web Application Firewall (WAF) para filtrar el encabezado User-Agent y bloquear cualquier payload que contenga sintaxis de serialización PHP. Además, revise los registros del servidor en busca de patrones sospechosos relacionados con la manipulación del encabezado User-Agent.
Cómo corregirlo
Actualizar a la versión 3.1 o una versión parcheada más reciente
Preguntas frecuentes
¿Qué es CVE-2026-7635 — Inyección de Objetos PHP en WordPress Activity Logging?
CVE-2026-7635 es una vulnerabilidad de inyección de objetos PHP en el plugin WordPress Activity Logging, que permite a atacantes ejecutar código malicioso a través del encabezado User-Agent. Afecta a versiones hasta la 3.0.
¿Estoy afectado por CVE-2026-7635 en WordPress Activity Logging?
Si está utilizando el plugin WordPress Activity Logging en la versión 3.0 o anterior, es vulnerable a esta inyección de objetos PHP. Verifique la versión del plugin en su panel de administración de WordPress.
¿Cómo soluciono CVE-2026-7635 en WordPress Activity Logging?
Actualice el plugin WordPress Activity Logging a la versión 3.1 o superior. Si la actualización causa problemas, considere una reversión o la implementación de un WAF como medida temporal.
¿Se está explotando activamente CVE-2026-7635?
Aunque no se han reportado campañas de explotación activas conocidas, la vulnerabilidad es fácilmente explotable y se recomienda monitorear las fuentes de inteligencia de amenazas.
¿Dónde puedo encontrar el aviso oficial de WordPress para CVE-2026-7635?
Consulte el sitio web de WordPress y el repositorio del plugin Activity Logging para obtener información oficial sobre la vulnerabilidad y las actualizaciones disponibles.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Escanea tu proyecto WordPress ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...