🔴 严重 | CVE-2026-58480 — Blocksy Companion Pro plugin for WordPress before ...
🔴 《严重安全漏洞:CVE-2026-58480》
CVSS 评分: 严重(9.2) 状态: Received 发布时间: 2026-07-08
漏洞简介
CVE-2026-58480 是一个存在于 WordPress 的 Blocksy Companion Pro 插件(版本低于 2.1.47)中的 未经认证的任意文件上传漏洞(Unauthenticated Arbitrary File Upload),对应 CWE-434(危险文件上传)。该漏洞源于插件中 save_attachments 函数对上传文件扩展名的验证存在缺陷,攻击者可以通过绕过扩展名检查,上传可执行文件(如 PHP 脚本),从而在服务器上实现远程代码执行(Remote Code Execution, RCE)。
具体来说,该漏洞涉及两个关键组件:
- Advanced Reviews 功能:该功能暴露了
save_attachments函数,允许未认证用户上传文件。 - Custom Fonts 扩展:该扩展在验证文件扩展名时使用了有缺陷的
strpos()子字符串检查逻辑。攻击者可以通过上传包含双扩展名的文件名(例如shell.woff2.php)来绕过验证。由于strpos()仅检查字符串中是否包含合法扩展名(如.woff2),而忽略了后续的.php部分,因此验证会通过。然而,Web 服务器(如 Apache 或 Nginx)在解析文件时,会识别最后的.php扩展名并将其作为 PHP 脚本执行,从而导致攻击者能够上传并执行任意恶意代码。
影响范围
- 受影响软件:WordPress 插件 Blocksy Companion Pro(商业版)
- 受影响版本:所有 低于 2.1.47 的版本
- 修复版本:2.1.47 及以上版本
- 利用条件:无需身份认证(Unauthenticated),攻击者可直接通过网络发起攻击
风险分析
- 攻击向量:远程网络攻击(AV:N),攻击复杂度低(AC:L),无需用户交互(UI:N),但需要攻击者具备一定的网络访问能力(AT:P)。
- 影响程度:该漏洞可导致攻击者完全控制受影响服务器,具体包括:
- 机密性(Confidentiality):高(VC:H)——攻击者可读取服务器上的任意文件,包括数据库配置、用户数据等敏感信息。
- 完整性(Integrity):高(VI:H)——攻击者可修改或替换网站文件,植入后门、恶意脚本或篡改页面内容。
- 可用性(Availability):高(VA:H)——攻击者可删除关键文件或导致服务崩溃,造成网站不可用。
- 攻击后果:成功利用该漏洞的攻击者可以上传 Web Shell 或其他恶意脚本,从而获得服务器的远程控制权限。这可能导致数据泄露、网站被植入恶意软件、被用于发起进一步攻击(如横向移动或 DDoS),甚至完全接管服务器。
- CVSS 评分:根据 CVSS:4.0 向量,该漏洞的严重性极高,基础评分接近满分(9.3 分以上),属于 严重(Critical) 级别漏洞。
建议:所有使用 Blocksy Companion Pro 插件的用户应立即升级至 2.1.47 或更高版本,并检查服务器上是否存在可疑文件(如双扩展名 PHP 文件)。同时,建议限制上传目录的执行权限,并启用 Web 应用防火墙(WAF)以缓解此类攻击。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-58480 |
| CVSS 评分 | 9.2 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-434 |
| 发布时间 | 2026-07-08 |
| 最后更新 | 2026-07-08 |
| 状态 | Received |
| 数据来源 | disclosure@vulncheck.com |
🔗 参考链接
💬 评论