CVE-2026-12115: Sårbarhed i WordPress Counter Box
WordPress-plugin ‘Counter Box’ har en sikkerhedsfejl, der kan lade en admin-bruger udføre skadelig kode – men kun under særlige omstændigheder.
Hvad er det?
WordPress-pluginnet Counter Box (version 2.0.13 og tidligere) indeholder en fejl kaldet PHP Object Injection via deserialisering. Det betyder, at pluginnet ukritisk behandler data, der importeres, uden at tjekke om dataene er sikre. En angriber kan smugle skadelige instruktioner ind i importdata, som WordPress så udfører automatisk. Fejlen aktiveres, så snart en importhandling gennemføres eller et element åbnes til redigering – uden at der kræves yderligere klik. Angrebet kræver dog, at angriberen allerede har admin-adgang, og at der er et andet plugin eller tema installeret, som indeholder en såkaldt POP-kæde (en teknisk mekanisme, der giver angrebet konkret virkning).
Hvem rammer det?
Sårbarheden rammer dig, hvis din WordPress-hjemmeside bruger pluginnet Counter Box i version 2.0.13 eller ældre. Risikoen er størst, hvis:
- Du har flere plugins eller temaer installeret (jo flere, desto større sandsynlighed for en POP-kæde).
- Du har flere brugere med administrator-adgang til WordPress-dashboardet.
- Du tillader brugere at importere data via pluginnet.
Har du kun Counter Box installeret og ingen andre plugins, er den direkte risiko lav – men ikke nul.
Hvad kan ske?
Hvis en angriber udnytter fejlen fuldt ud (via en POP-kæde i et andet plugin eller tema), kan følgende ske:
- Sletning af filer – angriberen kan slette vilkårlige filer på din hjemmeside eller server.
- Datatyveri – følsomme oplysninger som adgangskoder, kundedata eller konfigurationsfiler kan blive hentet ud.
- Kodeudførelse – i værste fald kan angriberen køre egne programmer på din server og overtage hele hjemmesiden.
Fordi angrebet kræver admin-adgang, er det primære scenarie en kompromitteret eller ondsindet administrator – fx en tidligere medarbejder eller en konto, der er blevet hacket.
Hvor alvorligt er det?
CVSS-scoren er 6.6 ud af 10 (Moderat). Det er ikke den højeste kategori, men heller ikke uvæsentlig. Vurderingen tager højde for, at:
- Angrebet kræver høje rettigheder (admin-niveau) og høj kompleksitet – det er altså ikke noget en tilfældig besøgende kan udføre.
- Konsekvenserne hvis angrebet lykkes er til gengæld alvorlige: fuld adgang til fortrolighed, integritet og tilgængelighed af data.
- Der er ingen kendte aktive angreb i skrivende stund, og der er ingen offentliggjort POP-kæde direkte i Counter Box selv.
Samlet set: lav sandsynlighed, men høj konsekvens. Bør håndteres inden for kort tid.
Hvad gør jeg nu?
Følg disse trin for at beskytte din WordPress-hjemmeside:
- Opdatér Counter Box-pluginnet hurtigst muligt til den nyeste version via WordPress-dashboardet under Plugins → Opdateringer.
- Gennemgå admin-brugere – sørg for at kun betroede personer har administrator-adgang. Fjern eller nedgradér konti, der ikke længere har brug for det.
- Brug stærke og unikke adgangskoder til alle admin-konti, og aktivér to-faktor-godkendelse (2FA) hvis muligt.
- Gennemgå dine øvrige plugins og temaer – overvej at afinstallere dem, du ikke bruger aktivt, da de kan indeholde POP-kæder, der forstærker denne sårbarhed.
- Kontrollér importfunktionen – undgå at importere data fra ukendte eller utroværdige kilder via Counter Box.
Opdatér inden for 14 dage
Vi anbefaler, at du opdaterer Counter Box-pluginnet hurtigst muligt. Selvom angrebet kræver admin-adgang og særlige betingelser, er konsekvenserne potentielt alvorlige – og en simpel opdatering løser problemet. Brug denne situation som anledning til at rydde op i ubrugte plugins og temaer, og sørg for at kun de rette personer har admin-adgang til din WordPress-hjemmeside.
Tidslinje
Konkrete eksempler
Kompromitteret admin-konto bruges til filsletning
En angriber skaffer sig adgang til en WordPress-admin-konto via et svagt kodeord eller phishing. Vedkommende logger ind og bruger Counter Box’ importfunktion til at uploade en ondsindet importfil med skadelige PHP-objekter. Når importen gennemføres, aktiveres deserialisering automatisk – og via en POP-kæde i et andet plugin slettes kritiske konfigurationsfiler, hvilket får hjemmesiden til at gå ned.
Tidligere medarbejder henter følsomme data
En tidligere webmaster med gemt admin-adgang logger ind på virksomhedens WordPress-site. Via Counter Box importerer vedkommende specialfremstillede data, som udløser kodeudførelse gennem en POP-kæde i et populært formular-plugin. Resultatet er, at kundeoplysninger og e-mailadresser eksporteres til en ekstern server, uden at virksomheden opdager det.
Ondsindet administrator overtager hele serveren
På et WordPress-site med mange plugins finder en angriber med admin-adgang en POP-kæde i et af de installerede temaer. Ved at åbne et tidligere importeret element i Counter Box til redigering udløses deserialisering automatisk, og angriberens kode køres på serveren. Dette giver fuld kontrol over webhotellet – ikke kun hjemmesiden, men potentielt alle andre sites på samme server.
Ofte stillede spørgsmål
Skal jeg bekymre mig, selvom jeg kun har Counter Box installeret?
Risikoen er markant lavere, hvis du kun har Counter Box og ingen andre plugins eller temaer. Fejlen kræver nemlig en såkaldt POP-kæde i et andet plugin for at have konkret virkning. Men du bør stadig opdatere pluginnet, da du ikke kan vide med sikkerhed, hvad fremtidige plugins måske medbringer.
Hvad er en POP-kæde, og har jeg en?
En POP-kæde (Property-Oriented Programming) er en teknisk mekanisme i programkode, der giver en angriber mulighed for at ‘styre’ hvad der sker, når skadelige data behandles. De fleste WordPress-sites med mange plugins har sandsynligvis kode, der kan udgøre en POP-kæde – uden at det er en fejl i sig selv. Det er kombinationen med Counter Box-fejlen, der gør det farligt.
Kan en ekstern hacker udnytte dette uden adgang til mit WordPress-dashboard?
Nej – ikke direkte. Sårbarheden kræver, at angriberen har administrator-adgang til dit WordPress-dashboard. Den typiske risiko er derfor en kompromitteret admin-konto (fx via svagt kodeord eller phishing) eller en intern aktør med ondsindede hensigter.
Hvordan ved jeg, om min version af Counter Box er sårbar?
Log ind på dit WordPress-dashboard og gå til Plugins → Installerede plugins. Find Counter Box og tjek versionsnummeret. Alle versioner op til og med 2.0.13 er sårbare. Hvis der er en opdatering tilgængelig, vil du se en notifikation direkte i listen.
Er der tegn på, at nogen har udnyttet fejlen mod mig?
Kig efter usædvanlige importhandlinger i Counter Box, uventede ændringer i filer eller indstillinger, og nye eller ukendte admin-brugere. Du kan også kontrollere din servers logfiler for mistænkelig aktivitet. Har du mistanke om et angreb, bør du kontakte en sikkerhedsekspert.
Hvad sker der, hvis jeg ikke opdaterer?
Risikoen forbliver tilstede, og den vokser i takt med, at du installerer flere plugins eller temaer. Selv hvis ingen udnytter fejlen i dag, kan fremtidige angribere bruge den som en del af et større angreb. En opdatering tager typisk under ét minut og eliminerer risikoen fuldstændigt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Counter Box – Add Countdowns, Timers & Dynamic Counters to WordPress plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 2.0.13 via deserialization of untrusted input . This makes it possible for authenticated attackers, with administrator-level access and above, to inject a PHP Object. No known POP chain is present in the vulnerable software, which means this vulnerability has no impact unless another plugin or theme containing a POP chain is installed on the site. If a POP chain is present via an additional plugin or theme installed on the target system, it may allow the attacker to perform actions like delete arbitrary files, retrieve sensitive data, or execute code depending on the POP chain present. Deserialization is triggered automatically upon the post-import redirect that renders the list table, and again when any item is opened for editing, requiring no additional navigation beyond the import action itself.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
