🔴 严重 | CVE-2026-57719 — Unrestricted Upload of File with Dangerous Type vu...
🔴 《严重安全漏洞:CVE-2026-57719》
CVSS 评分: 严重(10.0) 状态: Received 发布时间: 2026-07-13
漏洞简介
该漏洞为 CVE-2026-57719,属于 CWE-434 分类(危险类型文件的不受限制上传,Unrestricted Upload of File with Dangerous Type)。漏洞存在于 CodeRevolution 开发的 Aimogen Pro 插件(插件标识:aimogen-pro)中。该插件允许攻击者上传恶意文件(Malicious Files),且未对上传文件的类型进行有效限制,从而可能导致远程代码执行(Remote Code Execution)等严重安全风险。
根据 CVSS 3.1 评分向量 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H,该漏洞具有以下特征:
- 攻击途径(AV):网络(Network),无需物理接触
- 攻击复杂度(AC):低(Low),无需特殊条件
- 权限要求(PR):无(None),无需任何身份验证
- 用户交互(UI):无(None),无需受害者操作
- 影响范围(S):已变更(Changed),漏洞可能影响其他组件
- 机密性(C)、完整性(I)、可用性(A):均为高(High)
影响范围
- 受影响软件:WordPress 插件 Aimogen Pro
- 受影响版本:从 n/a(未知起始版本)至 2.8.3(含 2.8.3)的所有版本
- 漏洞触发条件:攻击者可直接通过网络发送恶意文件上传请求,无需任何认证或用户交互
风险分析
攻击后果:
- 攻击者可上传任意类型文件(如 Web Shell、恶意脚本、可执行文件)到服务器,从而获得对目标 WordPress 站点的完全控制。
- 利用上传的恶意文件,攻击者能够执行任意系统命令、窃取数据库信息、篡改网站内容、植入后门,甚至横向渗透至同一服务器上的其他应用。
- 由于 CVSS 评分高达 10.0(Critical),该漏洞属于最严重的级别,可能导致整个服务器被完全攻陷。
实际利用场景:
- 未授权攻击者通过构造特制的 HTTP 请求,绕过 Aimogen Pro 插件的文件类型检查,上传
.php、.phtml、.shtml等可执行脚本文件。 - 上传成功后,攻击者通过访问该文件直接执行恶意代码,实现远程控制。
- 未授权攻击者通过构造特制的 HTTP 请求,绕过 Aimogen Pro 插件的文件类型检查,上传
修复建议:
- 立即将 Aimogen Pro 插件升级至 2.8.3 以上版本(如果厂商已发布修复版本)。
- 在升级前,建议临时禁用该插件,或通过 Web 应用防火墙(WAF)规则拦截可疑文件上传请求。
- 检查服务器上是否存在异常文件(尤其是
wp-content/uploads/目录下的非预期脚本文件),并清理已发现的恶意文件。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-57719 |
| CVSS 评分 | 10.0 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| CWE 分类 | CWE-434 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | audit@patchstack.com |
🔗 参考链接
💬 评论