CVE-2026-58480 in Blocksy Companion Pro Plugininfo

Zusammenfassung

von VulDB • 08.07.2026

Das Plugin Blocksy Companion Pro für WordPress vor Version 2.1.47 enthält eine nicht authentifizierte Schwachstelle zum beliebigen Hochladen von Dateien (arbitrary file upload), die es Angreifern ermöglicht, ausführbare Dateien hochzuladen, indem sie die Erweiterungsbewertung in der über das Feature „Advanced Reviews“ exposed Funktion `save_attachments` umgehen. Angreifer können den fehlerhaften `strpos()`-Substring-Check der Custom Fonts-Erweiterung ausnutzen, indem sie Dateinamen mit doppelter Erweiterung wie `shell.woff2.php` hochladen; dies lässt die Bewertung aufgrund des Substring-Matches erfolgreich durchlaufen, während der Webserver die Datei als PHP ausführt und so Remote Code Execution (RCE) ermöglicht.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

VulnCheck

Reservieren

30.06.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376844

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!