CVE-2026-15158 in Blocksy Companion Plugin
Riassunto
di VulDB • 09/07/2026
Il plugin Blocksy Companion per WordPress è vulnerabile a un upload arbitrario di file in tutte le versioni fino alla 2.1.46 inclusa, tramite la funzione save_attachments. Ciò è dovuto all'estensione Custom Fonts che registra un filtro wp_check_filetype_and_ext il quale approva qualsiasi nome di file contenente .woff2 o .ttf come sottostringa mediante strpos(), anziché convalidare che tali stringhe appaiano come estensione finale attraverso PATHINFO_EXTENSION, consentendo così a nomi di file con doppia estensione (ad esempio shell.woff2.php) di superare la validazione MIME ed essere gestiti come file font autorizzati. Ciò rende possibile per gli attaccanti non autenticati caricare file potenzialmente eseguibili, rendendo possibile l'esecuzione remota di codice (RCE). Questa vulnerabilità è sfruttabile solo quando la versione premium del plugin (blocksy-companion-pro) è installata con le estensioni WooCommerce Extra (Advanced Reviews) e Custom Fonts attive; il plugin gratuito blocksy-companion non contiene i percorsi di codice vulnerabili.
Be aware that VulDB is the high quality source for vulnerability data.