🔴 严重 | CVE-2026-57770 — Deserialization of Untrusted Data vulnerability in...
🔴 《严重安全漏洞:CVE-2026-57770》
CVSS 评分: 严重(9.8) 状态: Received 发布时间: 2026-07-13
漏洞简介
该漏洞(CVE-2026-57770)属于 反序列化不可信数据(Deserialization of Untrusted Data) 漏洞,对应 CWE-502 分类。漏洞存在于 ThemeGoods 开发的 WordPress 主题 Grand Photography 中,具体版本为 5.7.8 及以下所有版本。
攻击者可以利用该漏洞,通过向应用程序提交特制的序列化数据,触发 PHP 对象注入(Object Injection)。由于应用程序在反序列化用户可控数据时未进行充分的校验与过滤,攻击者能够注入任意 PHP 对象,进而可能执行恶意代码、操纵应用程序逻辑或访问敏感资源。
影响范围
- 受影响软件:WordPress 主题 Grand Photography(由 ThemeGoods 开发)
- 受影响版本:从最初版本(n/a)至 5.7.8 版本(含) 的所有版本
- 漏洞编号:CVE-2026-57770
- CVSS 评分:CVSS:3.1 基础分数为 9.8(严重),向量为
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,表明该漏洞可远程利用、无需身份验证、无需用户交互,且能完全破坏机密性、完整性和可用性。
风险分析
攻击方式:攻击者无需任何身份认证,仅需通过网络向目标站点发送精心构造的 HTTP 请求,即可触发反序列化漏洞。由于攻击复杂度低(AC:L),且无需用户交互(UI:N),该漏洞极易被大规模自动化扫描和利用。
潜在后果:
- 远程代码执行(RCE):通过对象注入,攻击者可能实例化任意 PHP 类并调用其魔术方法(如
__destruct、__wakeup等),从而在服务器上执行任意系统命令或 PHP 代码。 - 数据泄露:攻击者可读取 WordPress 数据库中的敏感信息(如用户凭据、配置密钥、私密内容等),甚至读取服务器上的任意文件。
- 权限提升与持久化:成功利用后,攻击者可创建管理员账户、篡改网站内容、植入后门,或利用服务器作为跳板攻击内部网络。
- 完全控制:由于 CVSS 评分达到最高严重等级,该漏洞可导致目标网站被完全接管,所有数据(包括用户数据、业务数据)面临泄露、篡改或删除风险。
- 远程代码执行(RCE):通过对象注入,攻击者可能实例化任意 PHP 类并调用其魔术方法(如
修复建议:建议所有使用 Grand Photography 主题的用户立即升级至 5.7.8 以上版本(若存在),或联系主题开发者获取安全补丁。在无法立即升级的情况下,应禁用该主题并替换为其他安全主题,同时检查服务器日志以排查是否已被利用。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-57770 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-502 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | audit@patchstack.com |
🔗 参考链接
💬 评论