PT-2026-56414 · WordPress · Blocksy Companion Pro
Publicado
2026-07-08
·
Atualizado
2026-07-08
·
CVE-2026-58480
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Blocksy Companion Pro plugin for WordPress versões anteriores a 2.1.47
Description
Um problema de upload arbitrário de arquivos não autenticado existe no recurso Advanced Reviews. A função
save attachments() não valida adequadamente as extensões de arquivo, especificamente devido a uma verificação de substring strpos() falha na extensão Custom Fonts. Um invasor pode ignorar essa validação usando nomes de arquivos com extensões duplas, como shell.woff2.php, permitindo o upload de arquivos executáveis que o servidor web processa como PHP, resultando em execução remota de código.Recommendations
Atualize o Blocksy Companion Pro plugin for WordPress para a versão 2.1.47 ou posterior.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Blocksy Companion Pro