免费扫描
分析待定CVE-2026-7635

CVE-2026-7635: PHP Object Injection in WordPress Activity Logging

平台

wordpress

组件

coreactivity

修复版本

3.1

在NVD查看
保存

CVE-2026-7635描述了WordPress Activity Logging插件中存在的PHP对象注入漏洞。该漏洞允许未经身份验证的攻击者通过User-Agent HTTP头部注入恶意PHP序列化代码,从而可能导致远程代码执行。该漏洞影响WordPress Activity Logging插件版本0到3.0。建议用户尽快升级至3.1版本以修复此安全问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

攻击者利用此漏洞可以执行任意PHP代码,完全控制受影响的WordPress站点。这可能导致敏感数据泄露、网站篡改、恶意软件植入,甚至整个服务器被攻陷。由于WordPress广泛使用,该漏洞的影响范围非常广泛。攻击者可以利用此漏洞窃取用户信息、数据库内容、上传恶意文件,并进行进一步的横向移动,攻击其他连接到同一网络的系统。该漏洞的利用方式类似于其他PHP反序列化漏洞,攻击者只需构造恶意的User-Agent头部即可触发。

利用背景

该漏洞已于2026年5月13日公开披露。目前,尚无公开的漏洞利用程序(POC),但由于该漏洞的严重性和易利用性,预计未来可能会出现。该漏洞的EPSS评分预计为中等至高,表明存在被积极利用的风险。建议密切关注安全社区的动态,及时采取应对措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

CISA SSVC

Exploitationnone
Automatableno
Technical Impacttotal

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H8.1HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityHigh利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
高 — 需要竞态条件、非默认配置或特定情况。难以可靠利用。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件coreactivity
供应商wordfence
最低版本0
最高版本3.0
修复版本3.1

弱点分类 (CWE)

CWE-502

时间线

  1. Reserved
  2. 发布日期

缓解措施和替代方案

最有效的缓解措施是立即将WordPress Activity Logging插件升级至3.1版本或更高版本。如果升级会破坏现有功能,可以考虑回滚到之前的版本,并实施临时缓解措施。此外,可以配置Web应用防火墙(WAF)或代理服务器,以过滤或限制User-Agent头部中的特殊字符,从而阻止恶意代码的注入。还可以审查WordPress Activity Logging插件的配置,确保日志记录功能没有被滥用。在升级后,请检查日志文件,确认漏洞是否已成功修复。

修复方法

更新到 3.1 版本,或更新的补丁版本

常见问题

什么是CVE-2026-7635 — PHP对象注入漏洞在WordPress Activity Logging中?

CVE-2026-7635是一个高危漏洞,影响WordPress Activity Logging插件版本0到3.0。攻击者可以通过User-Agent头部注入恶意PHP序列化代码,导致远程代码执行。

我是否受到CVE-2026-7635在WordPress Activity Logging中的影响?

如果您正在使用WordPress Activity Logging插件的版本0到3.0,那么您可能受到此漏洞的影响。请立即检查您的插件版本并升级。

如何修复CVE-2026-7635在WordPress Activity Logging中?

最有效的修复方法是升级WordPress Activity Logging插件至3.1版本或更高版本。如果升级会破坏现有功能,可以考虑回滚并实施WAF规则。

CVE-2026-7635是否正在被积极利用?

目前尚无公开的漏洞利用程序,但由于漏洞的严重性,预计未来可能会出现。建议密切关注安全社区的动态。

在哪里可以找到WordPress Activity Logging官方关于CVE-2026-7635的公告?

请访问WordPress Activity Logging插件的官方网站或GitHub仓库,查找关于CVE-2026-7635的公告和修复信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...