WordPress Crawlmomatic Authenticated RCE via call_user_func (CVE-2026-9009)

漏洞概述 漏洞名称: Crawlmomatic Multisite Scraper Post Generator <= 2.7.2 - Authenticated (Author+) Remote Code Execution via 'callback_raw' Shortcode Attribute CVE ID: CVE-2026-9009 CVSS评分: 8.8 (High) 发布日期: May 27, 2026 最后更新日期: May 28, 2026 研究人员: Nguyen Ngoc Duc (duc193) 影响范围 软件类型: Plugin 软件名称: Crawlmomatic Multisite Scraper Post Generator 受影响版本: <= 2.7.2 修复版本: 2.7.3 修复方案 修复建议: 更新到版本 2.7.3 或更高版本。 其他信息 漏洞描述: 该插件在 函数中通过传递攻击者提供的 'callback_raw' 短代码属性直接调用 ，没有进行任何消毒或白名单验证，仅依赖于一个 检查，允许危险的 PHP 内置函数如 , , , , 和 。这使得具有作者级访问权限的认证攻击者可以在服务器上执行代码。 参考链接: plugins.trac.wordpress.org 近期相关漏洞 1. Crawlmomatic Multisite Scraper Post Generator <= 2.6.8.2 - Missing Authorization - CVE ID: CVE-2025-49293 - CVSS评分: 4.3 - 研究人员: Nguyễn Trung Kiên - 发布日期: June 5, 2025 2. Crawlmomatic Multisite Scraper Post Generator <= 2.6.8.2 - Unauthenticated Information Exposure via Log Files - CVE ID: CVE-2025-49294 - CVSS评分: 5.3 - 研究人员: Nguyễn Trung Kiên - 发布日期: June 5, 2025 3. Crawlmomatic Multisite Scraper Post Generator <= 2.6.8.1 - Unauthenticated Arbitrary File Upload - CVE ID: CVE-2025-4389 - CVSS评分: 9.8 - 研究人员: Foxyyy - 发布日期: May 16, 2025 总结 该漏洞允许认证攻击者通过 'callback_raw' 短代码属性在服务器上执行任意代码，建议尽快更新到版本 2.7.3 或更高版本以修复此问题。

目標達成すべての支援者に感謝 — 100%達成しました！

WordPress Crawlmomatic Authenticated RCE via call_user_func (CVE-2026-9009)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

WordPress Crawlmomatic Authenticated RCE via call_user_func (CVE-2026-9009)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！