Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-15158
CVSS 9.8 — CRITICO

CVE-2026-15158: Vulnerabilità nel plugin Blocksy Companion

Pubblicato il 2026-07-09 · Fonte: NVD NIST

CVE ID
CVE-2026-15158
CVSS Score
9.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-15158 è stata scoperta nel plugin Blocksy Companion per WordPress, che consente l'upload di file arbitrari in tutte le versioni fino alla 2.1.46. Ciò è dovuto alla registrazione di un filtro wp_check_filetype_and_ext da parte dell'estensione Custom Fonts, che approva qualsiasi nome file contenente .woff2 o .ttf come substringa, anziché validarne la presenza come estensione finale. Questo consente a utenti non autenticati di caricare file potenzialmente eseguibili, rendendo possibile l'esecuzione di codice remoto. La vulnerabilità è sfruttabile solo quando è installata la versione premium del plugin con le estensioni WooCommerce Extra (Advanced Reviews) e Custom Fonts attive.

Impatto

Un attaccante può sfruttare questa vulnerabilità per caricare file eseguibili sul server, potenzialmente portando a un'esecuzione di codice remoto. Ciò può avere gravi conseguenze, come l'accesso non autorizzato al sistema, la modifica di dati sensibili o la diffusione di malware. I sistemi a rischio sono quelli che utilizzano il plugin Blocksy Companion con le estensioni vulnerabili attive.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Blocksy Companion alla versione più recente disponibile. Inoltre, è importante disabilitare le estensioni Custom Fonts e WooCommerce Extra (Advanced Reviews) fino a quando non saranno disponibili aggiornamenti di sicurezza. In generale, è sempre consigliabile mantenere i plugin e le estensioni aggiornati e monitorare regolarmente la sicurezza del sistema.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-15158?

La vulnerabilità CVE-2026-15158 è una vulnerabilità nel plugin Blocksy Companion per WordPress che consente l'upload di file arbitrari, potenzialmente eseguibili.

Quali sono le condizioni necessarie per sfruttare la vulnerabilità?

La vulnerabilità è sfruttabile solo quando è installata la versione premium del plugin con le estensioni WooCommerce Extra (Advanced Reviews) e Custom Fonts attive.

Come proteggersi da CVE-2026-15158?

Per proteggersi, si consiglia di aggiornare il plugin Blocksy Companion alla versione più recente disponibile e disabilitare le estensioni Custom Fonts e WooCommerce Extra (Advanced Reviews) fino a quando non saranno disponibili aggiornamenti di sicurezza.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.