CVE-2026-15158 in Blocksy Companion Plugininformazioni

Riassunto

di VulDB • 09/07/2026

Il plugin Blocksy Companion per WordPress è vulnerabile a un upload arbitrario di file in tutte le versioni fino alla 2.1.46 inclusa, tramite la funzione save_attachments. Ciò è dovuto all'estensione Custom Fonts che registra un filtro wp_check_filetype_and_ext il quale approva qualsiasi nome di file contenente .woff2 o .ttf come sottostringa mediante strpos(), anziché convalidare che tali stringhe appaiano come estensione finale attraverso PATHINFO_EXTENSION, consentendo così a nomi di file con doppia estensione (ad esempio shell.woff2.php) di superare la validazione MIME ed essere gestiti come file font autorizzati. Ciò rende possibile per gli attaccanti non autenticati caricare file potenzialmente eseguibili, rendendo possibile l'esecuzione remota di codice (RCE). Questa vulnerabilità è sfruttabile solo quando la versione premium del plugin (blocksy-companion-pro) è installata con le estensioni WooCommerce Extra (Advanced Reviews) e Custom Fonts attive; il plugin gratuito blocksy-companion non contiene i percorsi di codice vulnerabili.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Wordfence

Prenotare

08/07/2026

Divulgazione

09/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00995

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!