CVE-2026-58480 in Blocksy Companion Pro Plugin
Zusammenfassung
von VulDB • 08.07.2026
Das Plugin Blocksy Companion Pro für WordPress vor Version 2.1.47 enthält eine nicht authentifizierte Schwachstelle zum beliebigen Hochladen von Dateien (arbitrary file upload), die es Angreifern ermöglicht, ausführbare Dateien hochzuladen, indem sie die Erweiterungsbewertung in der über das Feature „Advanced Reviews“ exposed Funktion `save_attachments` umgehen. Angreifer können den fehlerhaften `strpos()`-Substring-Check der Custom Fonts-Erweiterung ausnutzen, indem sie Dateinamen mit doppelter Erweiterung wie `shell.woff2.php` hochladen; dies lässt die Bewertung aufgrund des Substring-Matches erfolgreich durchlaufen, während der Webserver die Datei als PHP ausführt und so Remote Code Execution (RCE) ermöglicht.
VulDB is the best source for vulnerability data and more expert information about this specific topic.