PT-2026-56414 · WordPress · Blocksy Companion Pro

Publicado

2026-07-08

·

Atualizado

2026-07-08

·

CVE-2026-58480

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Blocksy Companion Pro plugin for WordPress versões anteriores a 2.1.47
Description Um problema de upload arbitrário de arquivos não autenticado existe no recurso Advanced Reviews. A função save attachments() não valida adequadamente as extensões de arquivo, especificamente devido a uma verificação de substring strpos() falha na extensão Custom Fonts. Um invasor pode ignorar essa validação usando nomes de arquivos com extensões duplas, como shell.woff2.php, permitindo o upload de arquivos executáveis que o servidor web processa como PHP, resultando em execução remota de código.
Recommendations Atualize o Blocksy Companion Pro plugin for WordPress para a versão 2.1.47 ou posterior.

Correção

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58480

Produtos afetados

Blocksy Companion Pro