🔴 《严重安全漏洞:CVE-2026-15158》

CVSS 评分: 严重(9.8)  状态: Received  发布时间: 2026-07-09


漏洞简介

CVE-2026-15158 是一个存在于 WordPress 插件 Blocksy Companion 中的高危漏洞,属于 任意文件上传(Arbitrary File Upload) 类型(对应 CWE-434)。该漏洞影响该插件的所有版本,包括 2.1.46 及之前的所有版本。

漏洞的根本原因在于插件中的 Custom Fonts(自定义字体) 扩展在处理文件上传时,对文件类型的验证逻辑存在缺陷。具体来说,该扩展注册了一个 wp_check_filetype_and_ext 过滤器(filter),该过滤器使用 strpos() 函数来检查文件名是否包含 .woff2.ttf 子字符串,而不是使用 PATHINFO_EXTENSION 来验证这些字符串是否作为文件的最终扩展名出现。这种不严谨的验证方式允许攻击者上传包含双重扩展名的文件,例如 shell.woff2.php。这类文件能够通过 MIME 类型验证,并被系统误认为是合法的字体文件,但实际上其最终扩展名为 .php,可以被服务器解析并执行。

影响范围

  • 受影响插件:Blocksy Companion(免费版及专业版)
  • 受影响版本:所有版本,包括 2.1.46 及之前版本
  • 利用条件:该漏洞仅在以下条件同时满足时才可被利用:
    1. 安装了专业版插件 blocksy-companion-pro
    2. 同时启用了 WooCommerce Extra (Advanced Reviews)Custom Fonts 这两个扩展。
    3. 免费版 blocksy-companion 不包含存在漏洞的代码路径,因此不受影响。

风险分析

  • 攻击向量:网络远程攻击(AV:N)
  • 攻击复杂度:低(AC:L)
  • 所需权限:无需认证(PR:N)
  • 用户交互:无需用户交互(UI:N)
  • 影响范围:未改变(S:U)
  • 机密性影响:高(C:H)
  • 完整性影响:高(I:H)
  • 可用性影响:高(A:H)

CVSS 评分:9.8(严重)

攻击后果
由于该漏洞允许未认证的攻击者上传任意文件(包括可执行脚本文件,如 PHP 文件),攻击者可以:

  • 在目标服务器上执行任意代码(Remote Code Execution, RCE)。
  • 完全控制受影响的 WordPress 站点。
  • 窃取敏感数据、修改网站内容、植入后门或进行横向渗透。

总结:这是一个严重级别的漏洞,攻击者无需任何身份验证即可远程利用,一旦成功,将导致服务器被完全控制。建议所有使用 Blocksy Companion 专业版并启用了相关扩展的用户立即升级到最新版本。


🔍 技术细节

字段
CVE ID CVE-2026-15158
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-434
发布时间 2026-07-09
最后更新 2026-07-09
状态 Received
数据来源 security@wordfence.com

🔗 参考链接