CVE-2026-7635WordPress插件coreActivity在3.0及之前版本中存在严重的PHP对象注入漏洞。该漏洞源于插件未能正确验证User-Agent HTTP头,直接将包含PHP序列化语法的数据存储在数据库中。当管理员访问日志页面时,系统会自动调用`maybe_unserialize()`函数反序列化这些数据,且未进行安全校验。未经身份验证的远程攻击者可利用此漏洞,通过发送特制的User-Agent头注入恶意载荷,触发`DeviceDetector::setUserAgent()`函数产生致命类型错误,从而导致持续的拒绝服务,使管理员无法访问日志页面。
该漏洞的核心在于不安全的反序列化处理机制。插件在记录活动(如登录尝试)时,直接将HTTP User-Agent头的内容存入`logmeta`表,未对其中的PHP序列化字符进行过滤或清洗。当管理员在后台查看日志时,插件通过`query_metas()`函数检索数据,并对`meta_value`字段调用`maybe_unserialize()`。由于代码逻辑未验证数据是否由程序自身序列化,攻击者可构造包含恶意PHP对象的User-Agent字符串。在管理员查看日志的瞬间,反序列化操作被执行,恶意对象被传递给`DeviceDetector::setUserAgent()`。由于类型不匹配,这会触发Fatal TypeError,导致PHP脚本崩溃。由于恶意日志已持久化存储在数据库中,管理员每次尝试访问日志页面都会触发崩溃,形成持久的拒绝服务状态。