V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-2471
ANC
Высокий

Плагин WP Mail Logging для WordPress уязвим для впрыска объектов PHP во всех версиях до 1.15.0 путем дезериализации ненадежного ввода из по…

CVSS
7.5
Высокий
EPSS
0.00
p30
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Плагин WP Mail Logging для WordPress уязвим для впрыска объектов PHP во всех версиях до 1.15.0 путем дезериализации ненадежного ввода из поля сообщений журнала электронной почты. Это связано с конструктором класса `BaseModel` «BaseModel», называющим `ybe_unserialize(()` на всех свойствах, извлеченных из базы данных без проверки. Это позволяет неаутентифицированным злоумышленникам вводить объект PHP, отправляя двойную сериализованную полезную нагрузку через любую общедоступную форму, которая отправляет электронную почту (например, контактная форма 7). Когда электронное письмо регистрируется и впоследствии просматривается администратором, вредоносная полезная нагрузка дезериализируется в произвольный объект PHP. Никакая известная цепочка POP не присутствует в уязвимом программном обеспечении, что означает, что эта уязвимость не имеет никакого влияния, если на сайте не установлен другой плагин или тема, содержащая цепочку POP. Если цепочка POP присутствует через дополнительный плагин или тему, установленную в целевой системе, это может позволить злоумышленнику выполнять такие действия, как удаление произвольных файлов, извлечения конфиденциальных данных или выполнения кода в зависимости от присутствующей цепочки POP.

Теги · CWE
Без аутентификации
CWE-502
CAPEC-586
Затронутые продукты
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.004 · p30
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается