CVE-2026-9009 in Crawlomatic Multipage Scraper Post Generator Pluginthông tin

Tóm tắt

Bởi VulDB • 28/05/2026

Plugin Crawlomatic Multipage Scraper Post Generator cho WordPress dễ bị lỗi Thực thi mã từ xa (RCE) trong tất cả các phiên bản từ 2.7.2 trở về trước, thông qua hàm filter_content. Lỗi này xảy ra do thuộc tính shortcode 'callback_raw' do kẻ tấn công cung cấp được truyền trực tiếp vào hàm call_user_func() mà không có bất kỳ quá trình làm sạch (sanitization) hay xác thực danh sách cho phép (allowlist validation) nào, chỉ dựa vào một kiểm tra is_callable() duy nhất cho phép sử dụng các hàm tích hợp sẵn nguy hiểm của PHP như system, shell_exec, exec, passthru và assert. Điều này cho phép những kẻ tấn công đã xác thực, có quyền truy cập cấp tác giả (author-level) trở lên, thực thi mã trên máy chủ. Một điểm hấp thụ (sink) tương tự tồn tại đối với thuộc tính 'callback', tạo ra một vector tấn công độc lập thứ hai thông qua cùng một shortcode.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

Wordfence

Đặt trước

19/05/2026

Tiết lộ

28/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-366577

CPE

sẵn sàng

CWE

CWE-434 (Đã xác nhận)

CVSS

8.8 (CNA)

EPSS

0.00264

KEV

không

Các hoạt động

thấp

ngành

Hostingprovider

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9009
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9009
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9009/

◂ Trước Tổng Quan Tiếp theo ▸

Interested in the pricing of exploits?

See the underground prices here!