🔴 《严重安全漏洞:CVE-2026-57724》

CVSS 评分: 严重(9.8)  状态: Received  发布时间: 2026-07-13


漏洞简介

该漏洞(CVE-2026-57724)属于不可信数据反序列化(Deserialization of Untrusted Data) 漏洞,对应 CWE-502 分类。漏洞存在于 WordPress 插件 Themeum Kirki(版本 ≤ 6.0.12)中,攻击者可以利用该漏洞实现 PHP 对象注入(Object Injection)

具体来说,当应用程序在处理用户可控的序列化数据时,未进行充分的验证或过滤,直接将其反序列化。攻击者可以构造恶意的序列化对象,在反序列化过程中触发 PHP 魔术方法(如 __wakeup()__destruct() 等),从而执行任意代码、修改数据库内容、获取敏感信息或进行其他恶意操作。

影响范围

  • 受影响软件:Themeum Kirki WordPress 插件
  • 受影响版本:从 n/a(未知早期版本)至 6.0.12(含)的所有版本
  • CVSS 评分:9.8(严重)
  • 攻击复杂度:低(无需特殊权限或用户交互)
  • 攻击向量:网络远程攻击(无需认证)

风险分析

  1. 攻击后果

    • 远程代码执行(RCE):攻击者可通过精心构造的反序列化载荷,在服务器上执行任意 PHP 代码,完全控制目标网站。
    • 数据泄露:可读取 WordPress 数据库中的用户信息、配置密钥、敏感文件等。
    • 权限提升:若结合其他漏洞,可获取管理员权限,进而篡改网站内容、植入后门。
    • 横向移动:在共享主机环境中,可能影响同一服务器上的其他站点。
  2. 利用条件

    • 目标站点需安装并启用受影响版本的 Kirki 插件(≤ 6.0.12)。
    • 攻击者无需登录 WordPress 后台,仅需通过网络发送特制请求即可触发漏洞。
  3. 修复建议

    • 立即将 Kirki 插件升级至 6.0.13 或更高版本(官方已发布安全更新)。
    • 若无法立即升级,可暂时禁用该插件,并检查服务器日志是否存在异常反序列化尝试。
    • 建议启用 Web 应用防火墙(WAF)规则,拦截包含可疑序列化数据的请求。

🔍 技术细节

字段
CVE ID CVE-2026-57724
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-502
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 audit@patchstack.com

🔗 参考链接