CVE-2026-7635: PHP Object Injection em WordPress Activity Logging
Plataforma
wordpress
Componente
coreactivity
Corrigido em
3.1
O plugin WordPress Activity Logging, nas versões de 0 a 3.0, apresenta uma vulnerabilidade de Injeção de Objeto PHP (PHP Object Injection). Esta falha ocorre devido à falta de validação e sanitização da sintaxe de serialização PHP no cabeçalho HTTP User-Agent antes de armazená-lo. A consequente utilização de maybe_unserialize() sem verificação adequada permite a execução de código malicioso, potencialmente comprometendo a integridade do servidor WordPress. A correção para esta vulnerabilidade está disponível na versão 3.1.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite a um atacante não autenticado injetar um payload PHP serializado malicioso através do cabeçalho User-Agent. Este payload, ao ser desserializado pelo WordPress, pode executar código arbitrário no servidor, levando ao controle total do site. O atacante pode, por exemplo, criar contas de administrador, roubar dados sensíveis (informações de usuários, dados de pedidos, etc.), modificar o conteúdo do site ou até mesmo usar o servidor como ponto de partida para ataques a outros sistemas na rede. A ausência de autenticação necessária para a exploração aumenta significativamente o risco, tornando o site um alvo fácil para ataques automatizados.
Contexto de Exploração
A vulnerabilidade CVE-2026-7635 foi publicada em 2026-05-13. A probabilidade de exploração é considerada alta devido à facilidade de exploração e à ausência de autenticação necessária. Não há informações disponíveis sobre campanhas de exploração ativas no momento da publicação. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) da CISA. É recomendável monitorar fontes de inteligência de ameaças para identificar possíveis atividades maliciosas relacionadas a esta vulnerabilidade.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reserved
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 3.1 do plugin WordPress Activity Logging. Caso a atualização não seja possível devido a incompatibilidades com outros plugins ou temas, considere a implementação de medidas de segurança adicionais. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações com User-Agents suspeitos ou que contenham código PHP pode ajudar a mitigar o risco. Além disso, a configuração do servidor para desabilitar a execução de PHP dentro do diretório de uploads do WordPress pode reduzir o impacto de uma possível exploração. Monitore os logs do WordPress em busca de padrões de requisições suspeitas, como tentativas de desserialização de dados não confiáveis.
Como corrigir
Atualize para a versão 3.1, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2026-7635 — Injeção de Objeto PHP em WordPress Activity Logging?
CVE-2026-7635 é uma vulnerabilidade de Injeção de Objeto PHP no plugin WordPress Activity Logging, que permite a execução de código malicioso através do cabeçalho User-Agent. Afeta versões de 0 a 3.0.
Estou afetado pelo CVE-2026-7635 em WordPress Activity Logging?
Se você estiver utilizando o plugin WordPress Activity Logging nas versões de 0 a 3.0, você está potencialmente afetado por esta vulnerabilidade. Verifique a versão do seu plugin imediatamente.
Como corrigir CVE-2026-7635 em WordPress Activity Logging?
A correção é atualizar o plugin para a versão 3.1 ou superior. Se a atualização não for possível, implemente medidas de mitigação, como um WAF e monitoramento de logs.
CVE-2026-7635 está sendo ativamente explorado?
Embora não haja informações sobre campanhas de exploração ativas no momento, a vulnerabilidade é considerada de alta probabilidade de exploração devido à sua facilidade de exploração.
Onde posso encontrar o advisory oficial do WordPress para CVE-2026-7635?
Consulte o site oficial do WordPress e o repositório de plugins para obter informações e atualizações sobre esta vulnerabilidade: [https://wordpress.org/plugins/activity-logging/](https://wordpress.org/plugins/activity-logging/)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...