🔴 严重 | CVE-2026-57724 — Deserialization of Untrusted Data vulnerability in...
🔴 《严重安全漏洞:CVE-2026-57724》
CVSS 评分: 严重(9.8) 状态: Received 发布时间: 2026-07-13
漏洞简介
该漏洞(CVE-2026-57724)属于不可信数据反序列化(Deserialization of Untrusted Data) 漏洞,对应 CWE-502 分类。漏洞存在于 WordPress 插件 Themeum Kirki(版本 ≤ 6.0.12)中,攻击者可以利用该漏洞实现 PHP 对象注入(Object Injection)。
具体来说,当应用程序在处理用户可控的序列化数据时,未进行充分的验证或过滤,直接将其反序列化。攻击者可以构造恶意的序列化对象,在反序列化过程中触发 PHP 魔术方法(如 __wakeup()、__destruct() 等),从而执行任意代码、修改数据库内容、获取敏感信息或进行其他恶意操作。
影响范围
- 受影响软件:Themeum Kirki WordPress 插件
- 受影响版本:从 n/a(未知早期版本)至 6.0.12(含)的所有版本
- CVSS 评分:9.8(严重)
- 攻击复杂度:低(无需特殊权限或用户交互)
- 攻击向量:网络远程攻击(无需认证)
风险分析
攻击后果:
- 远程代码执行(RCE):攻击者可通过精心构造的反序列化载荷,在服务器上执行任意 PHP 代码,完全控制目标网站。
- 数据泄露:可读取 WordPress 数据库中的用户信息、配置密钥、敏感文件等。
- 权限提升:若结合其他漏洞,可获取管理员权限,进而篡改网站内容、植入后门。
- 横向移动:在共享主机环境中,可能影响同一服务器上的其他站点。
利用条件:
- 目标站点需安装并启用受影响版本的 Kirki 插件(≤ 6.0.12)。
- 攻击者无需登录 WordPress 后台,仅需通过网络发送特制请求即可触发漏洞。
修复建议:
- 立即将 Kirki 插件升级至 6.0.13 或更高版本(官方已发布安全更新)。
- 若无法立即升级,可暂时禁用该插件,并检查服务器日志是否存在异常反序列化尝试。
- 建议启用 Web 应用防火墙(WAF)规则,拦截包含可疑序列化数据的请求。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-57724 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-502 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | audit@patchstack.com |
🔗 参考链接
💬 评论