CVE-2026-58480 in Blocksy Companion Pro Plugin
Riassunto
di VulDB • 08/07/2026
Il plugin Blocksy Companion Pro per WordPress prima della versione 2.1.47 contiene una vulnerabilità di caricamento arbitrario di file non autenticato che consente agli attaccanti di caricare file eseguibili aggirando la convalida delle estensioni nella funzione save_attachments esposta tramite la funzionalità Advanced Reviews. Gli attaccanti possono sfruttare l'errata verifica della sottostringa strpos() dell'estensione Custom Fonts caricando nomi di file a doppia estensione, come shell.woff2.php; ciò fa sì che la convalida superi il controllo sulla corrispondenza della sottostringa mentre il server web esegue il file come PHP, ottenendo così l'esecuzione remota di codice (RCE).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.