🔴 《严重安全漏洞:CVE-2026-57811》

CVSS 评分: 严重(10.0)  状态: Received  发布时间: 2026-07-13


漏洞简介

CVE-2026-57811 是一个存在于 Realtyna Organic IDX 插件(插件标识:real-estate-listing-realtyna-wpl)中的严重安全漏洞。该漏洞属于 代码生成控制不当(Code Injection),对应 CWE-94 分类。

攻击者可以利用该漏洞,在未经过任何身份验证的情况下,通过远程方式向目标服务器注入并执行恶意代码。由于该漏洞允许攻击者完全控制服务器端的代码执行流程,因此其本质是一种 远程代码执行(Remote Code Execution, RCE) 漏洞。

影响范围

  • 受影响软件:WordPress 插件 Realtyna Organic IDX(real-estate-listing-realtyna-wpl
  • 受影响版本:从 n/a(未知早期版本)至 5.2.0 及以下所有版本(包括 5.2.0 版本)

风险分析

根据 CVSS 3.1 评分向量 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H,该漏洞的严重性评级为 最高级别(Critical),具体风险分析如下:

  1. 攻击复杂度低(AC:L):攻击者无需特殊技巧或复杂条件即可发起攻击。
  2. 无需认证(PR:N):攻击者不需要拥有任何 WordPress 后台账户或 API 密钥,可直接从公网发起攻击。
  3. 无需用户交互(UI:N):攻击过程不需要诱导管理员或普通用户点击链接或执行任何操作。
  4. 影响范围改变(S:C):漏洞不仅影响插件本身,还可能突破 WordPress 的安全边界,导致整个服务器环境(包括其他站点、数据库、文件系统)被控制。
  5. 机密性、完整性、可用性均为高(C:H/I:H/A:H)
    • 机密性:攻击者可读取服务器上的任意文件,包括数据库配置、用户密码哈希、敏感业务数据等。
    • 完整性:攻击者可修改网站内容、植入恶意脚本、篡改数据库记录。
    • 可用性:攻击者可删除文件、停止服务、植入勒索软件或后门,导致网站完全瘫痪。

可能的攻击后果

  • 攻击者可直接在目标服务器上执行任意 PHP 代码,从而完全接管 WordPress 站点。
  • 进一步利用该服务器作为跳板,攻击同一网络内的其他系统。
  • 窃取用户数据、支付信息或进行 SEO 劫持等恶意活动。

建议:所有使用 Realtyna Organic IDX 插件且版本低于或等于 5.2.0 的站点应立即升级到最新安全版本,或暂时禁用该插件直至补丁可用。


🔍 技术细节

字段
CVE ID CVE-2026-57811
CVSS 评分 10.0 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE 分类 CWE-94
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 audit@patchstack.com

🔗 参考链接