🔴 《严重安全漏洞:CVE-2026-57770》

CVSS 评分: 严重(9.8)  状态: Received  发布时间: 2026-07-13


漏洞简介

该漏洞(CVE-2026-57770)属于 反序列化不可信数据(Deserialization of Untrusted Data) 漏洞,对应 CWE-502 分类。漏洞存在于 ThemeGoods 开发的 WordPress 主题 Grand Photography 中,具体版本为 5.7.8 及以下所有版本

攻击者可以利用该漏洞,通过向应用程序提交特制的序列化数据,触发 PHP 对象注入(Object Injection)。由于应用程序在反序列化用户可控数据时未进行充分的校验与过滤,攻击者能够注入任意 PHP 对象,进而可能执行恶意代码、操纵应用程序逻辑或访问敏感资源。

影响范围

  • 受影响软件:WordPress 主题 Grand Photography(由 ThemeGoods 开发)
  • 受影响版本:从最初版本(n/a)至 5.7.8 版本(含) 的所有版本
  • 漏洞编号:CVE-2026-57770
  • CVSS 评分:CVSS:3.1 基础分数为 9.8(严重),向量为 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,表明该漏洞可远程利用、无需身份验证、无需用户交互,且能完全破坏机密性、完整性和可用性。

风险分析

  1. 攻击方式:攻击者无需任何身份认证,仅需通过网络向目标站点发送精心构造的 HTTP 请求,即可触发反序列化漏洞。由于攻击复杂度低(AC:L),且无需用户交互(UI:N),该漏洞极易被大规模自动化扫描和利用。

  2. 潜在后果

    • 远程代码执行(RCE):通过对象注入,攻击者可能实例化任意 PHP 类并调用其魔术方法(如 __destruct__wakeup 等),从而在服务器上执行任意系统命令或 PHP 代码。
    • 数据泄露:攻击者可读取 WordPress 数据库中的敏感信息(如用户凭据、配置密钥、私密内容等),甚至读取服务器上的任意文件。
    • 权限提升与持久化:成功利用后,攻击者可创建管理员账户、篡改网站内容、植入后门,或利用服务器作为跳板攻击内部网络。
    • 完全控制:由于 CVSS 评分达到最高严重等级,该漏洞可导致目标网站被完全接管,所有数据(包括用户数据、业务数据)面临泄露、篡改或删除风险。
  3. 修复建议:建议所有使用 Grand Photography 主题的用户立即升级至 5.7.8 以上版本(若存在),或联系主题开发者获取安全补丁。在无法立即升级的情况下,应禁用该主题并替换为其他安全主题,同时检查服务器日志以排查是否已被利用。


🔍 技术细节

字段
CVE ID CVE-2026-57770
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-502
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 audit@patchstack.com

🔗 参考链接