🔴 《严重安全漏洞:CVE-2026-57744》

CVSS 评分: 严重(9.8)  状态: Received  发布时间: 2026-07-13


漏洞简介

该漏洞(CVE-2026-57744)属于 反序列化不可信数据(Deserialization of Untrusted Data) 漏洞,对应 CWE 分类为 CWE-502。漏洞存在于 WordPress 插件 RT-Theme 18 | Extensions(插件标识:rt18-extensions)中。

由于该插件在处理用户输入时,未对反序列化操作进行充分的验证与过滤,导致攻击者可以注入恶意构造的序列化对象(Object Injection)。成功利用该漏洞后,攻击者能够在目标服务器上执行任意代码、读取或修改敏感数据,甚至完全控制受影响的 WordPress 站点。

影响范围

  • 受影响软件:RT-Theme 18 | Extensions(rt18-extensions)WordPress 插件
  • 受影响版本:从 n/a(未知早期版本)到 2.5 版本(含 2.5) 的所有版本均受影响
  • 漏洞触发条件:无需用户认证(Authentication Required: None),攻击者可通过网络远程发起攻击

风险分析

  • CVSS 评分:CVSS:3.1 基础评分 9.8(严重)

    • 攻击向量(AV):网络(Network)
    • 攻击复杂度(AC):低(Low)
    • 所需权限(PR):无(None)
    • 用户交互(UI):无(None)
    • 影响范围(S):未改变(Unchanged)
    • 机密性影响(C):高(High)
    • 完整性影响(I):高(High)
    • 可用性影响(A):高(High)
  • 攻击后果

    • 攻击者无需任何身份验证即可远程利用该漏洞。
    • 成功利用后,可实现 远程代码执行(Remote Code Execution, RCE),进而完全控制目标 WordPress 站点。
    • 可能导致网站数据泄露、数据库被篡改、植入后门、恶意重定向、勒索软件攻击等严重安全事件。
    • 由于该插件通常用于主题扩展,受影响站点可能包含大量用户数据或业务关键信息,危害范围较广。
  • 修复建议:立即将 RT-Theme 18 | Extensions 插件升级至 2.5 以上版本(若厂商已发布修复版本),或暂时禁用该插件直至官方发布安全更新。同时建议对网站进行全面的安全审计,排查是否存在已被利用的痕迹。


🔍 技术细节

字段
CVE ID CVE-2026-57744
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-502
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 audit@patchstack.com

🔗 参考链接