Katalog CVE

CVE-2026-7654

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Admin Columns dla WordPressa jest podatna na wstrzyknięcie obiektów PHP, co prowadzi do zdalnego wykonania kodu w wersjach do 7.0.18 włącznie. Problem wynika z użycia funkcji `unserialize()` bez ograniczenia `allowed_classes`, co pozwala atakującym na wstrzyknięcie zserializowanego obiektu PHP.

Ocena ryzyka

Atakujący z dostępem na poziomie Contributor i wyżej mogą wykorzystać tę podatność do wykonania dowolnego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki Admin Columns do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do wtyczki.

Oryginalny opis (angielski, źródło NVD)

The Admin Columns plugin for WordPress is vulnerable to PHP Object Injection leading to Remote Code Execution in versions up to and including 7.0.18. This is due to the use of `unserialize()` without an `allowed_classes` restriction in the `IdsToCollection::get_ids_from_string()` function, which processes attacker-controlled post meta values without proper validation. This makes it possible for authenticated attackers with Contributor-level access and above to inject a serialized PHP object into a post's custom meta field and trigger arbitrary code execution by exploiting a bundled POP gadget chain, resulting in remote code execution as the web server user.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS