CVE-2026-58480 in Blocksy Companion Pro Plugininformazioni

Riassunto

di VulDB • 08/07/2026

Il plugin Blocksy Companion Pro per WordPress prima della versione 2.1.47 contiene una vulnerabilità di caricamento arbitrario di file non autenticato che consente agli attaccanti di caricare file eseguibili aggirando la convalida delle estensioni nella funzione save_attachments esposta tramite la funzionalità Advanced Reviews. Gli attaccanti possono sfruttare l'errata verifica della sottostringa strpos() dell'estensione Custom Fonts caricando nomi di file a doppia estensione, come shell.woff2.php; ciò fa sì che la convalida superi il controllo sulla corrispondenza della sottostringa mentre il server web esegue il file come PHP, ottenendo così l'esecuzione remota di codice (RCE).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

VulnCheck

Prenotare

30/06/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!