🔴 《严重安全漏洞:CVE-2026-57719》

CVSS 评分: 严重(10.0)  状态: Received  发布时间: 2026-07-13


漏洞简介

该漏洞为 CVE-2026-57719,属于 CWE-434 分类(危险类型文件的不受限制上传,Unrestricted Upload of File with Dangerous Type)。漏洞存在于 CodeRevolution 开发的 Aimogen Pro 插件(插件标识:aimogen-pro)中。该插件允许攻击者上传恶意文件(Malicious Files),且未对上传文件的类型进行有效限制,从而可能导致远程代码执行(Remote Code Execution)等严重安全风险。

根据 CVSS 3.1 评分向量 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H,该漏洞具有以下特征:

  • 攻击途径(AV):网络(Network),无需物理接触
  • 攻击复杂度(AC):低(Low),无需特殊条件
  • 权限要求(PR):无(None),无需任何身份验证
  • 用户交互(UI):无(None),无需受害者操作
  • 影响范围(S):已变更(Changed),漏洞可能影响其他组件
  • 机密性(C)、完整性(I)、可用性(A):均为高(High)

影响范围

  • 受影响软件:WordPress 插件 Aimogen Pro
  • 受影响版本:从 n/a(未知起始版本)至 2.8.3(含 2.8.3)的所有版本
  • 漏洞触发条件:攻击者可直接通过网络发送恶意文件上传请求,无需任何认证或用户交互

风险分析

  1. 攻击后果

    • 攻击者可上传任意类型文件(如 Web Shell、恶意脚本、可执行文件)到服务器,从而获得对目标 WordPress 站点的完全控制。
    • 利用上传的恶意文件,攻击者能够执行任意系统命令、窃取数据库信息、篡改网站内容、植入后门,甚至横向渗透至同一服务器上的其他应用。
    • 由于 CVSS 评分高达 10.0(Critical),该漏洞属于最严重的级别,可能导致整个服务器被完全攻陷。
  2. 实际利用场景

    • 未授权攻击者通过构造特制的 HTTP 请求,绕过 Aimogen Pro 插件的文件类型检查,上传 .php.phtml.shtml 等可执行脚本文件。
    • 上传成功后,攻击者通过访问该文件直接执行恶意代码,实现远程控制。
  3. 修复建议

    • 立即将 Aimogen Pro 插件升级至 2.8.3 以上版本(如果厂商已发布修复版本)。
    • 在升级前,建议临时禁用该插件,或通过 Web 应用防火墙(WAF)规则拦截可疑文件上传请求。
    • 检查服务器上是否存在异常文件(尤其是 wp-content/uploads/ 目录下的非预期脚本文件),并清理已发现的恶意文件。

🔍 技术细节

字段
CVE ID CVE-2026-57719
CVSS 评分 10.0 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE 分类 CWE-434
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 audit@patchstack.com

🔗 参考链接