🔴 严重 | CVE-2026-57744 — Deserialization of Untrusted Data vulnerability in...
🔴 《严重安全漏洞:CVE-2026-57744》
CVSS 评分: 严重(9.8) 状态: Received 发布时间: 2026-07-13
漏洞简介
该漏洞(CVE-2026-57744)属于 反序列化不可信数据(Deserialization of Untrusted Data) 漏洞,对应 CWE 分类为 CWE-502。漏洞存在于 WordPress 插件 RT-Theme 18 | Extensions(插件标识:rt18-extensions)中。
由于该插件在处理用户输入时,未对反序列化操作进行充分的验证与过滤,导致攻击者可以注入恶意构造的序列化对象(Object Injection)。成功利用该漏洞后,攻击者能够在目标服务器上执行任意代码、读取或修改敏感数据,甚至完全控制受影响的 WordPress 站点。
影响范围
- 受影响软件:RT-Theme 18 | Extensions(
rt18-extensions)WordPress 插件 - 受影响版本:从 n/a(未知早期版本)到 2.5 版本(含 2.5) 的所有版本均受影响
- 漏洞触发条件:无需用户认证(Authentication Required: None),攻击者可通过网络远程发起攻击
风险分析
CVSS 评分:CVSS:3.1 基础评分 9.8(严重)
- 攻击向量(AV):网络(Network)
- 攻击复杂度(AC):低(Low)
- 所需权限(PR):无(None)
- 用户交互(UI):无(None)
- 影响范围(S):未改变(Unchanged)
- 机密性影响(C):高(High)
- 完整性影响(I):高(High)
- 可用性影响(A):高(High)
攻击后果:
- 攻击者无需任何身份验证即可远程利用该漏洞。
- 成功利用后,可实现 远程代码执行(Remote Code Execution, RCE),进而完全控制目标 WordPress 站点。
- 可能导致网站数据泄露、数据库被篡改、植入后门、恶意重定向、勒索软件攻击等严重安全事件。
- 由于该插件通常用于主题扩展,受影响站点可能包含大量用户数据或业务关键信息,危害范围较广。
修复建议:立即将 RT-Theme 18 | Extensions 插件升级至 2.5 以上版本(若厂商已发布修复版本),或暂时禁用该插件直至官方发布安全更新。同时建议对网站进行全面的安全审计,排查是否存在已被利用的痕迹。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-57744 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-502 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | audit@patchstack.com |
🔗 参考链接
💬 评论