CVE-2026-2471

El plugin WP Mail Logging para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 1.15.0, inclusive, a través de la deserialización de entrada no confiable desde el campo de mensaje del registro de correo electrónico. Esto se debe a que el constructor de la clase 'BaseModel' llama a 'maybe_unserialize()' en todas las propiedades recuperadas de la base de datos sin validación. Esto hace posible que atacantes no autenticados inyecten un objeto PHP al enviar una carga útil doblemente serializada a través de cualquier formulario público que envíe correo electrónico (por ejemplo, Contact Form 7). Cuando el correo electrónico es registrado y posteriormente visto por un administrador, la carga útil maliciosa es deserializada en un objeto PHP arbitrario. No hay una cadena POP conocida presente en el software vulnerable, lo que significa que esta vulnerabilidad no tiene impacto a menos que otro plugin o tema que contenga una cadena POP esté instalado en el sitio. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código, dependiendo de la cadena POP presente.