🔴 《严重安全漏洞:CVE-2026-57710》

CVSS 评分: 严重(9.9)  状态: Received  发布时间: 2026-07-13


漏洞简介

该漏洞(CVE-2026-57710)属于 危险类型文件无限制上传(Unrestricted Upload of File with Dangerous Type) 漏洞,对应 CWE-434 分类。漏洞存在于 WordPress 插件 WoowBot Pro Max(插件标识:woowbot-pro-max)中,由开发者 quantumcloud 维护。

攻击者可以利用该漏洞上传恶意文件(如 Web Shell、后门脚本等),从而在服务器上执行任意代码。由于该漏洞无需用户交互(UI:N),且攻击复杂度低(AC:L),攻击者只需拥有最低权限(PR:L,如订阅者或贡献者角色)即可通过网络远程触发(AV:N),并可能造成机密性、完整性和可用性全部被完全破坏(C:H/I:H/A:H)。

影响范围

  • 受影响软件:WoowBot Pro Max WordPress 插件
  • 受影响版本:所有版本从 n/a(未知早期版本)至 14.1.7(含) 均受影响
  • CVSS 评分:9.9(严重,CVSS:3.1 向量:AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)

风险分析

  1. 攻击路径与条件

    • 攻击者需拥有 WordPress 站点的有效用户账号(最低权限如订阅者),或通过其他方式获得低权限访问。
    • 插件未对上传文件的类型、内容或扩展名进行充分校验,导致攻击者可以上传 .php.phtml.shtml 等可执行脚本文件。
    • 上传的恶意文件可直接被 Web 服务器解析执行,从而获得服务器控制权。
  2. 攻击后果

    • 远程代码执行(RCE):攻击者可在服务器上执行任意 PHP 代码,安装后门、窃取数据库信息、篡改网站内容。
    • 横向移动:若服务器与其他内部系统相连,攻击者可能进一步渗透内网。
    • 数据泄露:可读取 WordPress 配置文件(wp-config.php)中的数据库凭证、API 密钥等敏感信息。
    • 网站完全沦陷:攻击者可删除、修改所有文件,或将网站用于钓鱼、恶意软件分发等非法活动。
  3. 修复建议

    • 立即将 WoowBot Pro Max 插件升级至 14.1.7 以上版本(若厂商已发布修复版本)。
    • 若无法升级,建议临时禁用该插件,并检查服务器上是否存在可疑文件(如 shell.phpeval.php 等)。
    • 对 WordPress 用户权限进行审计,确保低权限用户无法访问文件上传功能。

🔍 技术细节

字段
CVE ID CVE-2026-57710
CVSS 评分 9.9 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE 分类 CWE-434
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 audit@patchstack.com

🔗 参考链接