🔴 《严重安全漏洞:CVE-2026-58480》

CVSS 评分: 严重(9.2)  状态: Received  发布时间: 2026-07-08


漏洞简介

CVE-2026-58480 是一个存在于 WordPress 的 Blocksy Companion Pro 插件(版本低于 2.1.47)中的 未经认证的任意文件上传漏洞(Unauthenticated Arbitrary File Upload),对应 CWE-434(危险文件上传)。该漏洞源于插件中 save_attachments 函数对上传文件扩展名的验证存在缺陷,攻击者可以通过绕过扩展名检查,上传可执行文件(如 PHP 脚本),从而在服务器上实现远程代码执行(Remote Code Execution, RCE)。

具体来说,该漏洞涉及两个关键组件:

  1. Advanced Reviews 功能:该功能暴露了 save_attachments 函数,允许未认证用户上传文件。
  2. Custom Fonts 扩展:该扩展在验证文件扩展名时使用了有缺陷的 strpos() 子字符串检查逻辑。攻击者可以通过上传包含双扩展名的文件名(例如 shell.woff2.php)来绕过验证。由于 strpos() 仅检查字符串中是否包含合法扩展名(如 .woff2),而忽略了后续的 .php 部分,因此验证会通过。然而,Web 服务器(如 Apache 或 Nginx)在解析文件时,会识别最后的 .php 扩展名并将其作为 PHP 脚本执行,从而导致攻击者能够上传并执行任意恶意代码。

影响范围

  • 受影响软件:WordPress 插件 Blocksy Companion Pro(商业版)
  • 受影响版本:所有 低于 2.1.47 的版本
  • 修复版本:2.1.47 及以上版本
  • 利用条件:无需身份认证(Unauthenticated),攻击者可直接通过网络发起攻击

风险分析

  • 攻击向量:远程网络攻击(AV:N),攻击复杂度低(AC:L),无需用户交互(UI:N),但需要攻击者具备一定的网络访问能力(AT:P)。
  • 影响程度:该漏洞可导致攻击者完全控制受影响服务器,具体包括:
    • 机密性(Confidentiality):高(VC:H)——攻击者可读取服务器上的任意文件,包括数据库配置、用户数据等敏感信息。
    • 完整性(Integrity):高(VI:H)——攻击者可修改或替换网站文件,植入后门、恶意脚本或篡改页面内容。
    • 可用性(Availability):高(VA:H)——攻击者可删除关键文件或导致服务崩溃,造成网站不可用。
  • 攻击后果:成功利用该漏洞的攻击者可以上传 Web Shell 或其他恶意脚本,从而获得服务器的远程控制权限。这可能导致数据泄露、网站被植入恶意软件、被用于发起进一步攻击(如横向移动或 DDoS),甚至完全接管服务器。
  • CVSS 评分:根据 CVSS:4.0 向量,该漏洞的严重性极高,基础评分接近满分(9.3 分以上),属于 严重(Critical) 级别漏洞。

建议:所有使用 Blocksy Companion Pro 插件的用户应立即升级至 2.1.47 或更高版本,并检查服务器上是否存在可疑文件(如双扩展名 PHP 文件)。同时,建议限制上传目录的执行权限,并启用 Web 应用防火墙(WAF)以缓解此类攻击。


🔍 技术细节

字段
CVE ID CVE-2026-58480
CVSS 评分 9.2 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-434
发布时间 2026-07-08
最后更新 2026-07-08
状态 Received
数据来源 disclosure@vulncheck.com

🔗 参考链接