CVE-2026-24978CVE-2026-24978是NooTheme Jobica Core插件中发现的高危漏洞。该漏洞源于对不受信任数据的反序列化处理不当,允许攻击者进行PHP对象注入。在低权限用户认证下,攻击者无需交互即可利用此漏洞,可能导致远程代码执行,严重威胁服务器的机密性、完整性和可用性。受影响版本涵盖1.4.1及之前所有版本。
该漏洞的根源在于Jobica Core插件在特定功能中使用了不安全的反序列化函数处理用户可控的输入数据。在PHP应用生态中,`unserialize()`函数能够将字符串还原为PHP对象。攻击者通过分析应用程序代码,寻找可利用的“POP链”(Property Oriented Programming),并构造特制的序列化字符串。当该插件解析此恶意数据时,会自动触发对象的魔术方法(如__wakeup()或__destruct())。如果这些方法中调用了敏感操作(如文件写入、删除文件、数据库查询或系统命令执行),攻击者即可通过控制对象属性参数来操纵应用逻辑,进而写入Webshell或执行系统命令。鉴于CVSS向量显示攻击复杂度低且无需用户交互,该漏洞极易被自动化工具大规模利用,造成严重的数据泄露或服务器沦陷。