🔴 严重 | CVE-2026-15158 — The Blocksy Companion plugin for WordPress is vuln...
🔴 《严重安全漏洞:CVE-2026-15158》
CVSS 评分: 严重(9.8) 状态: Received 发布时间: 2026-07-09
漏洞简介
CVE-2026-15158 是一个存在于 WordPress 插件 Blocksy Companion 中的高危漏洞,属于 任意文件上传(Arbitrary File Upload) 类型(对应 CWE-434)。该漏洞影响该插件的所有版本,包括 2.1.46 及之前的所有版本。
漏洞的根本原因在于插件中的 Custom Fonts(自定义字体) 扩展在处理文件上传时,对文件类型的验证逻辑存在缺陷。具体来说,该扩展注册了一个 wp_check_filetype_and_ext 过滤器(filter),该过滤器使用 strpos() 函数来检查文件名是否包含 .woff2 或 .ttf 子字符串,而不是使用 PATHINFO_EXTENSION 来验证这些字符串是否作为文件的最终扩展名出现。这种不严谨的验证方式允许攻击者上传包含双重扩展名的文件,例如 shell.woff2.php。这类文件能够通过 MIME 类型验证,并被系统误认为是合法的字体文件,但实际上其最终扩展名为 .php,可以被服务器解析并执行。
影响范围
- 受影响插件:Blocksy Companion(免费版及专业版)
- 受影响版本:所有版本,包括 2.1.46 及之前版本
- 利用条件:该漏洞仅在以下条件同时满足时才可被利用:
- 安装了专业版插件
blocksy-companion-pro。 - 同时启用了 WooCommerce Extra (Advanced Reviews) 和 Custom Fonts 这两个扩展。
- 免费版
blocksy-companion不包含存在漏洞的代码路径,因此不受影响。
- 安装了专业版插件
风险分析
- 攻击向量:网络远程攻击(AV:N)
- 攻击复杂度:低(AC:L)
- 所需权限:无需认证(PR:N)
- 用户交互:无需用户交互(UI:N)
- 影响范围:未改变(S:U)
- 机密性影响:高(C:H)
- 完整性影响:高(I:H)
- 可用性影响:高(A:H)
CVSS 评分:9.8(严重)
攻击后果:
由于该漏洞允许未认证的攻击者上传任意文件(包括可执行脚本文件,如 PHP 文件),攻击者可以:
- 在目标服务器上执行任意代码(Remote Code Execution, RCE)。
- 完全控制受影响的 WordPress 站点。
- 窃取敏感数据、修改网站内容、植入后门或进行横向渗透。
总结:这是一个严重级别的漏洞,攻击者无需任何身份验证即可远程利用,一旦成功,将导致服务器被完全控制。建议所有使用 Blocksy Companion 专业版并启用了相关扩展的用户立即升级到最新版本。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-15158 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-434 |
| 发布时间 | 2026-07-09 |
| 最后更新 | 2026-07-09 |
| 状态 | Received |
| 数据来源 | security@wordfence.com |
🔗 参考链接
💬 评论