CVE-2026-7635: PHP Object Injection in WordPress Activity Logging
Platform
wordpress
Component
coreactivity
Opgelost in
3.1
CVE-2026-7635 is een PHP Object Injection kwetsbaarheid in de coreActivity: Activity Logging plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om schadelijke code uit te voeren door een speciaal ontworpen PHP serialized payload in de User-Agent HTTP header te injecteren. De kwetsbaarheid treedt op in versies van de plugin tot en met 3.0. Een upgrade naar versie 3.1 is vereist om deze kwetsbaarheid te verhelpen.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van CVE-2026-7635 kan leiden tot volledige controle over de getroffen WordPress website. De aanvaller kan willekeurige code op de server uitvoeren, gevoelige gegevens stelen (zoals gebruikersnamen, wachtwoorden, en database-inhoud), de website defacen, of malware verspreiden. Omdat de kwetsbaarheid ongeauthenticeerd is, kan een aanvaller deze zonder inloggegevens misbruiken. De impact is vergelijkbaar met andere PHP object injectie kwetsbaarheden, waarbij de mogelijkheid bestaat om de hele server te compromitteren als de webserver configuratie onvoldoende beveiligd is.
Uitbuitingscontext
Op het moment van schrijven is CVE-2026-7635 nog niet opgenomen in KEV of EPSS. De CVSS score van 8.1 (HIGH) duidt op een significante dreiging. Er zijn momenteel geen publieke Proof-of-Concept (POC) exploits bekend, maar de kwetsbaarheid is kritiek vanwege de mogelijkheid tot ongeauthenticeerde code-uitvoering. De publicatiedatum van 2026-05-13 geeft aan dat de kwetsbaarheid recent is ontdekt en er een risico bestaat dat deze snel wordt misbruikt.
Dreigingsinformatie
Exploit Status
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Reserved
- Gepubliceerd
Mitigatie en Workarounds
De primaire mitigatie voor CVE-2026-7635 is het upgraden van de coreActivity: Activity Logging plugin naar versie 3.1 of hoger. Als een upgrade momenteel niet mogelijk is, overweeg dan om de User-Agent header te filteren of te strippen op de webserver voordat deze door de plugin wordt verwerkt. Dit kan worden bereikt met behulp van webserver configuratie (bijvoorbeeld .htaccess voor Apache) of een Web Application Firewall (WAF). Controleer ook of de WordPress installatie de laatste beveiligingsupdates heeft ontvangen. Na de upgrade, controleer de logbestanden op verdachte activiteiten die verband houden met de User-Agent header.
Hoe te verhelpen
Update naar versie 3.1, of een nieuwere gepatchte versie
Veelgestelde vragen
Wat is CVE-2026-7635 — PHP Object Injection in WordPress Activity Logging?
CVE-2026-7635 is een kwetsbaarheid in de coreActivity: Activity Logging plugin voor WordPress, waardoor ongeauthenticeerde aanvallers PHP object injectie kunnen uitvoeren via de User-Agent header, wat kan leiden tot code-uitvoering.
Am I affected by CVE-2026-7635 in WordPress Activity Logging?
Ja, als u de coreActivity: Activity Logging plugin gebruikt in versie 0–3.0, bent u kwetsbaar voor CVE-2026-7635. Upgrade onmiddellijk naar versie 3.1 of hoger.
How do I fix CVE-2026-7635 in WordPress Activity Logging?
De fix is het upgraden van de coreActivity: Activity Logging plugin naar versie 3.1 of hoger. Als een upgrade niet direct mogelijk is, filter of strip dan de User-Agent header op de webserver.
Is CVE-2026-7635 being actively exploited?
Op dit moment zijn er geen publieke exploits bekend, maar de hoge CVSS score en de kritieke aard van de kwetsbaarheid suggereren een potentieel risico op actieve exploitatie.
Where can I find the official WordPress advisory for CVE-2026-7635?
Raadpleeg de WordPress website en de plugin repository voor de officiële aankondiging en updates over CVE-2026-7635: [https://wordpress.org/plugins/activity-logging/](https://wordpress.org/plugins/activity-logging/)
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Scan nu uw WordPress project — geen account
Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...