WordPress Crawlmomatic插件认证RCE漏洞(CVE-2026-9009)分析

漏洞概述 漏洞名称: Crawlmomatic Multisite Scraper Post Generator <= 2.7.2 - Authenticated (Author+) Remote Code Execution via 'callback_raw' Shortcode Attribute CVE ID: CVE-2026-9009 CVSS评分: 8.8 (High) 发布日期: May 27, 2026 最后更新日期: May 28, 2026 研究人员: Nguyen Ngoc Duc (duc193) 影响范围 软件类型: Plugin 软件名称: Crawlmomatic Multisite Scraper Post Generator 受影响版本: <= 2.7.2 修复版本: 2.7.3 修复方案 修复建议: 更新到版本 2.7.3 或更高版本。 其他信息 漏洞描述: 该插件在 函数中通过传递攻击者提供的 'callback_raw' 短代码属性直接调用 ，没有进行任何消毒或白名单验证，仅依赖于一个 检查，允许危险的 PHP 内置函数如 , , , , 和 。这使得具有作者级访问权限的认证攻击者可以在服务器上执行代码。 参考链接: plugins.trac.wordpress.org 近期相关漏洞 1. Crawlmomatic Multisite Scraper Post Generator <= 2.6.8.2 - Missing Authorization - CVE ID: CVE-2025-49293 - CVSS评分: 4.3 - 研究人员: Nguyễn Trung Kiên - 发布日期: June 5, 2025 2. Crawlmomatic Multisite Scraper Post Generator <= 2.6.8.2 - Unauthenticated Information Exposure via Log Files - CVE ID: CVE-2025-49294 - CVSS评分: 5.3 - 研究人员: Nguyễn Trung Kiên - 发布日期: June 5, 2025 3. Crawlmomatic Multisite Scraper Post Generator <= 2.6.8.1 - Unauthenticated Arbitrary File Upload - CVE ID: CVE-2025-4389 - CVSS评分: 9.8 - 研究人员: Foxyyy - 发布日期: May 16, 2025 总结 该漏洞允许认证攻击者通过 'callback_raw' 短代码属性在服务器上执行任意代码，建议尽快更新到版本 2.7.3 或更高版本以修复此问题。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

WordPress Crawlmomatic插件认证RCE漏洞(CVE-2026-9009)分析

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

WordPress Crawlmomatic插件认证RCE漏洞(CVE-2026-9009)分析

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！