🔴 严重 | CVE-2026-57811 — Improper Control of Generation of Code ('Code Inje...
🔴 《严重安全漏洞:CVE-2026-57811》
CVSS 评分: 严重(10.0) 状态: Received 发布时间: 2026-07-13
漏洞简介
CVE-2026-57811 是一个存在于 Realtyna Organic IDX 插件(插件标识:real-estate-listing-realtyna-wpl)中的严重安全漏洞。该漏洞属于 代码生成控制不当(Code Injection),对应 CWE-94 分类。
攻击者可以利用该漏洞,在未经过任何身份验证的情况下,通过远程方式向目标服务器注入并执行恶意代码。由于该漏洞允许攻击者完全控制服务器端的代码执行流程,因此其本质是一种 远程代码执行(Remote Code Execution, RCE) 漏洞。
影响范围
- 受影响软件:WordPress 插件 Realtyna Organic IDX(
real-estate-listing-realtyna-wpl) - 受影响版本:从 n/a(未知早期版本)至 5.2.0 及以下所有版本(包括 5.2.0 版本)
风险分析
根据 CVSS 3.1 评分向量 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H,该漏洞的严重性评级为 最高级别(Critical),具体风险分析如下:
- 攻击复杂度低(AC:L):攻击者无需特殊技巧或复杂条件即可发起攻击。
- 无需认证(PR:N):攻击者不需要拥有任何 WordPress 后台账户或 API 密钥,可直接从公网发起攻击。
- 无需用户交互(UI:N):攻击过程不需要诱导管理员或普通用户点击链接或执行任何操作。
- 影响范围改变(S:C):漏洞不仅影响插件本身,还可能突破 WordPress 的安全边界,导致整个服务器环境(包括其他站点、数据库、文件系统)被控制。
- 机密性、完整性、可用性均为高(C:H/I:H/A:H):
- 机密性:攻击者可读取服务器上的任意文件,包括数据库配置、用户密码哈希、敏感业务数据等。
- 完整性:攻击者可修改网站内容、植入恶意脚本、篡改数据库记录。
- 可用性:攻击者可删除文件、停止服务、植入勒索软件或后门,导致网站完全瘫痪。
可能的攻击后果:
- 攻击者可直接在目标服务器上执行任意 PHP 代码,从而完全接管 WordPress 站点。
- 进一步利用该服务器作为跳板,攻击同一网络内的其他系统。
- 窃取用户数据、支付信息或进行 SEO 劫持等恶意活动。
建议:所有使用 Realtyna Organic IDX 插件且版本低于或等于 5.2.0 的站点应立即升级到最新安全版本,或暂时禁用该插件直至补丁可用。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-57811 |
| CVSS 评分 | 10.0 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| CWE 分类 | CWE-94 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | audit@patchstack.com |
🔗 参考链接
💬 评论