CVE-2026-32510Edge-Themes开发的WordPress主题Kamperen存在反序列化不受信任数据漏洞。该漏洞允许攻击者进行对象注入攻击,主要原因是未对用户提交的序列化数据进行严格验证。受影响的版本包括1.3之前的所有版本。攻击者需要低权限账户即可利用此漏洞,可能造成数据篡改或服务不可用等中危风险。
该漏洞的核心在于PHP反序列化机制的不当使用。在Kamperen主题的特定功能模块中,代码直接调用了`unserialize()`函数处理来自HTTP请求的参数(例如Cookie、POST数据或特定文件内容),且未对数据来源进行严格的完整性与安全性过滤。攻击者可以构造特定的序列化字符串,其中包含能够触发自动魔术方法(如`__wakeup()`、`__destruct()`或`__toString()`)的恶意对象。当PHP引擎反序列化这些数据时,会自动实例化对象并调用上述方法,从而在服务器上下文中执行非预期的操作链。虽然此漏洞的CVSS评分为5.4(中危),且机密性影响被标记为无,但攻击者仍可利用此漏洞破坏系统完整性(如修改配置、添加恶意用户)或导致拒绝服务,对业务连续性构成威胁。