CVE-2026-7635: PHP Object Injection in WordPress Activity Logging
Plateforme
wordpress
Composant
coreactivity
Corrigé dans
3.1
Une vulnérabilité de type PHP Object Injection a été découverte dans le plugin WordPress Activity Logging, affectant les versions de 0 à 3.0. Cette faille permet à un attaquant non authentifié d'injecter une charge utile PHP malveillante via l'en-tête HTTP User-Agent, compromettant potentiellement l'intégrité du site WordPress. La version 3.1 corrige cette vulnérabilité et doit être appliquée dès que possible.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. L'attaquant peut ainsi prendre le contrôle du site web, voler des données sensibles (informations utilisateur, données de configuration, etc.), modifier le contenu du site, ou même utiliser le serveur comme point de départ pour des attaques plus larges sur le réseau interne. La capacité à injecter du code via un en-tête HTTP rend cette vulnérabilité particulièrement insidieuse, car elle peut être exploitée sans nécessiter d'authentification préalable. Cette faille rappelle les vulnérabilités d'injection de code qui ont affecté d'autres plugins WordPress par le passé, soulignant l'importance de la validation rigoureuse des entrées utilisateur.
Contexte d'Exploitation
Cette vulnérabilité a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une connaissance technique pour construire une charge utile PHP efficace. Il n'y a pas d'indication d'une campagne d'exploitation active à ce jour, mais la disponibilité d'une preuve de concept publique pourrait changer cette situation. La vulnérabilité est référencée par le NVD et CISA.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Reserved
- Publiée
Mitigation et Contournements
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour le plugin WordPress Activity Logging vers la version 3.1 ou supérieure, qui corrige la faille. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à désactiver le plugin ou à restreindre l'accès à la fonctionnalité de journalisation des activités. Il est également possible de configurer un Web Application Firewall (WAF) pour bloquer les requêtes contenant des charges utiles PHP malveillantes dans l'en-tête User-Agent. Enfin, assurez-vous que votre installation WordPress est à jour et que tous les plugins et thèmes sont maintenus à jour pour réduire la surface d'attaque globale.
Comment corriger
Mettre à jour vers la version 3.1, ou une version corrigée plus récente
Questions fréquentes
Que signifie CVE-2026-7635 — PHP Object Injection dans WordPress Activity Logging ?
CVE-2026-7635 décrit une vulnérabilité de type PHP Object Injection dans le plugin WordPress Activity Logging, permettant à un attaquant d'exécuter du code malveillant via l'en-tête User-Agent. La faille affecte les versions inférieures à 3.1.
Suis-je affecté par CVE-2026-7635 dans WordPress Activity Logging ?
Vous êtes affecté si vous utilisez le plugin WordPress Activity Logging dans une version inférieure à 3.1. Vérifiez la version installée et mettez à jour dès que possible.
Comment corriger CVE-2026-7635 dans WordPress Activity Logging ?
La solution est de mettre à jour le plugin WordPress Activity Logging vers la version 3.1 ou supérieure. En attendant, désactivez le plugin ou configurez un WAF pour bloquer les requêtes suspectes.
CVE-2026-7635 est-il activement exploité ?
À ce jour, il n'y a pas d'indication d'une exploitation active, mais la disponibilité d'une preuve de concept publique pourrait changer cette situation. Il est important d'appliquer la correction rapidement.
Où puis-je trouver l'avis officiel de WordPress pour CVE-2026-7635 ?
Consultez le site web de WordPress et le dépôt du plugin Activity Logging pour les informations officielles et les mises à jour concernant cette vulnérabilité. Recherchez également les annonces sur le site web du NVD (National Vulnerability Database).
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...