CVE-2026-7637WordPress的Boost插件在2.0.3及以下版本中存在严重的PHP对象注入漏洞。该漏洞源于程序对STYXKEY-BOOST_USER_LOCATION cookie中的不可信数据进行了反序列化处理。未经身份验证的攻击者可利用此漏洞注入恶意PHP对象。虽然该插件本身不包含POP链,但如果目标系统上安装了其他具有POP链的插件或主题,攻击者可能借此删除任意文件、窃取敏感数据甚至执行任意代码。
该漏洞位于Boost插件处理用户Cookie的逻辑中。具体来说,插件直接反序列化了名为STYXKEY-BOOST_USER_LOCATION的Cookie值,而未对数据进行安全过滤或验证。反序列化操作将字节流还原为PHP对象,攻击者可以通过构造特定的序列化字符串来控制对象的属性和类型。由于Boost插件本身未提供可利用的POP(属性-oriented programming)链,直接利用无法造成实质危害。然而,WordPress生态中广泛存在各种插件和主题,许多包含POP链。攻击者可以结合这些现成的POP链,触发__wakeup()、__destruct()等魔术方法,进而调用敏感函数(如file_put_contents、system等),最终实现远程代码执行(RCE)或文件删除等攻击。CVSS 3.1评分为9.8,攻击复杂度低,无需用户交互。