CVE-2026-12115
Moderat

CVE-2026-12115: Sårbarhed i WordPress Counter Box

WordPress-plugin ‘Counter Box’ har en sikkerhedsfejl, der kan lade en admin-bruger udføre skadelig kode – men kun under særlige omstændigheder.

CVSS Score
6.6
Offentliggjort
17/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdatér inden for 14 dage

Hvad er det?

WordPress-pluginnet Counter Box (version 2.0.13 og tidligere) indeholder en fejl kaldet PHP Object Injection via deserialisering. Det betyder, at pluginnet ukritisk behandler data, der importeres, uden at tjekke om dataene er sikre. En angriber kan smugle skadelige instruktioner ind i importdata, som WordPress så udfører automatisk. Fejlen aktiveres, så snart en importhandling gennemføres eller et element åbnes til redigering – uden at der kræves yderligere klik. Angrebet kræver dog, at angriberen allerede har admin-adgang, og at der er et andet plugin eller tema installeret, som indeholder en såkaldt POP-kæde (en teknisk mekanisme, der giver angrebet konkret virkning).

Hvem rammer det?

Sårbarheden rammer dig, hvis din WordPress-hjemmeside bruger pluginnet Counter Box i version 2.0.13 eller ældre. Risikoen er størst, hvis:

  • Du har flere plugins eller temaer installeret (jo flere, desto større sandsynlighed for en POP-kæde).
  • Du har flere brugere med administrator-adgang til WordPress-dashboardet.
  • Du tillader brugere at importere data via pluginnet.

Har du kun Counter Box installeret og ingen andre plugins, er den direkte risiko lav – men ikke nul.

Hvad kan ske?

Hvis en angriber udnytter fejlen fuldt ud (via en POP-kæde i et andet plugin eller tema), kan følgende ske:

  • Sletning af filer – angriberen kan slette vilkårlige filer på din hjemmeside eller server.
  • Datatyveri – følsomme oplysninger som adgangskoder, kundedata eller konfigurationsfiler kan blive hentet ud.
  • Kodeudførelse – i værste fald kan angriberen køre egne programmer på din server og overtage hele hjemmesiden.

Fordi angrebet kræver admin-adgang, er det primære scenarie en kompromitteret eller ondsindet administrator – fx en tidligere medarbejder eller en konto, der er blevet hacket.

Hvor alvorligt er det?

CVSS-scoren er 6.6 ud af 10 (Moderat). Det er ikke den højeste kategori, men heller ikke uvæsentlig. Vurderingen tager højde for, at:

  • Angrebet kræver høje rettigheder (admin-niveau) og høj kompleksitet – det er altså ikke noget en tilfældig besøgende kan udføre.
  • Konsekvenserne hvis angrebet lykkes er til gengæld alvorlige: fuld adgang til fortrolighed, integritet og tilgængelighed af data.
  • Der er ingen kendte aktive angreb i skrivende stund, og der er ingen offentliggjort POP-kæde direkte i Counter Box selv.

Samlet set: lav sandsynlighed, men høj konsekvens. Bør håndteres inden for kort tid.

Hvad gør jeg nu?

Følg disse trin for at beskytte din WordPress-hjemmeside:

  1. Opdatér Counter Box-pluginnet hurtigst muligt til den nyeste version via WordPress-dashboardet under Plugins → Opdateringer.
  2. Gennemgå admin-brugere – sørg for at kun betroede personer har administrator-adgang. Fjern eller nedgradér konti, der ikke længere har brug for det.
  3. Brug stærke og unikke adgangskoder til alle admin-konti, og aktivér to-faktor-godkendelse (2FA) hvis muligt.
  4. Gennemgå dine øvrige plugins og temaer – overvej at afinstallere dem, du ikke bruger aktivt, da de kan indeholde POP-kæder, der forstærker denne sårbarhed.
  5. Kontrollér importfunktionen – undgå at importere data fra ukendte eller utroværdige kilder via Counter Box.
Tidsfrist

Opdatér inden for 14 dage

Sådan ser Auroa det

Vi anbefaler, at du opdaterer Counter Box-pluginnet hurtigst muligt. Selvom angrebet kræver admin-adgang og særlige betingelser, er konsekvenserne potentielt alvorlige – og en simpel opdatering løser problemet. Brug denne situation som anledning til at rydde op i ubrugte plugins og temaer, og sørg for at kun de rette personer har admin-adgang til din WordPress-hjemmeside.

Tidslinje

17/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-12115 i Counter Box-pluginnet blev officielt registreret og offentliggjort i NVD (National Vulnerability Database).
17/06/2026
Patch tilgængelig
En opdatering til Counter Box er tilgængelig via WordPress plugin-repositoriet. Brugere opfordres til at opdatere straks.
17/06/2026
Ingen aktive angreb registreret
På tidspunktet for offentliggørelsen er der ingen kendte aktive angreb eller offentliggjorte exploit-koder rettet mod denne sårbarhed.

Konkrete eksempler

Kompromitteret admin-konto bruges til filsletning

En angriber skaffer sig adgang til en WordPress-admin-konto via et svagt kodeord eller phishing. Vedkommende logger ind og bruger Counter Box’ importfunktion til at uploade en ondsindet importfil med skadelige PHP-objekter. Når importen gennemføres, aktiveres deserialisering automatisk – og via en POP-kæde i et andet plugin slettes kritiske konfigurationsfiler, hvilket får hjemmesiden til at gå ned.

Tidligere medarbejder henter følsomme data

En tidligere webmaster med gemt admin-adgang logger ind på virksomhedens WordPress-site. Via Counter Box importerer vedkommende specialfremstillede data, som udløser kodeudførelse gennem en POP-kæde i et populært formular-plugin. Resultatet er, at kundeoplysninger og e-mailadresser eksporteres til en ekstern server, uden at virksomheden opdager det.

Ondsindet administrator overtager hele serveren

På et WordPress-site med mange plugins finder en angriber med admin-adgang en POP-kæde i et af de installerede temaer. Ved at åbne et tidligere importeret element i Counter Box til redigering udløses deserialisering automatisk, og angriberens kode køres på serveren. Dette giver fuld kontrol over webhotellet – ikke kun hjemmesiden, men potentielt alle andre sites på samme server.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-502

Original NVD-beskrivelse (engelsk)

The Counter Box – Add Countdowns, Timers & Dynamic Counters to WordPress plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 2.0.13 via deserialization of untrusted input . This makes it possible for authenticated attackers, with administrator-level access and above, to inject a PHP Object. No known POP chain is present in the vulnerable software, which means this vulnerability has no impact unless another plugin or theme containing a POP chain is installed on the site. If a POP chain is present via an additional plugin or theme installed on the target system, it may allow the attacker to perform actions like delete arbitrary files, retrieve sensitive data, or execute code depending on the POP chain present. Deserialization is triggered automatically upon the post-import redirect that renders the list table, and again when any item is opened for editing, requiring no additional navigation beyond the import action itself.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.6
Visning
Hurtige fakta
CVE-ID
CVE-2026-12115
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdatér inden for 14 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.