文章总结： CVE-2026-1555是WordPressWebStack主题（版本≤1.2024）的高危未授权文件上传漏洞，CVSS评分9.8，攻击者可直接上传Webshell实现远程代码执行。暗网卖家Baiden正以150美元/人价格出售利用工具，暂无官方补丁。建议立即停用主题、部署WAF规则限制文件上传类型，并配置目录禁止PHP脚本执行。 综合评分： 85 文章分类： 漏洞分析,威胁情报,漏洞预警,WEB安全,应急响应

WebStack系统CVE-2026-1555漏洞，支持未授权任意文件上传——RCE POC遭贩卖

原创

助力行业的 助力行业的

李白你好

2026年4月15日 12:00 青海

在小说阅读器读本章

去阅读

概要与核心发现

2026年4月15日在知名暗网论坛上，用户 “Baiden” 正在以每人 150 美元的价格出售一个名为 CVE-2026-1555 的零日漏洞利用工具。经过对攻击者发布内容和 Wordfence 官方安全公告的交叉验证，本团队确认此漏洞通报高度可信，且正处在“未公开（Not yet public）”的黄金利用窗口期，对全球使用特定版本 WebStack 主题的 WordPress 网站构成了直接且严重的安全威胁。

| 项目 | 详情 | | — | — | | 漏洞编号 | CVE-2026-1555 | | 受影响组件 | WordPress WebStack 主题（版本 <= 1.2024） | | 漏洞类型 | 未经身份验证的任意文件上传 -> 远程代码执行 (RCE) | | CVSS 3.x 评分 | 9.8 (严重) | | 利用前置条件 | 无需任何身份认证，攻击者可直接发起攻击 | | 在野状态 | 已确认。攻击者正在多个暗网平台积极出售利用工具 | | 官方补丁状态 | 暂无可用补丁，受影响版本尚无修复方案 | | 攻击者售价 | 150 美元/人 | | 攻击者身份 | Baiden （有前科，曾于2025年11月出售WordPress插件0day漏洞） | | 核心风险 | 攻击者可直接上传 Webshell，完全控制目标网站及服务器 |

漏洞技术深度解析

该漏洞的根本原因在于 WebStack 主题的 io_img_upload() 函数。

• 受影响版本：所有版本号 小于等于 1.2024 的 WebStack 主题。
• 攻击向量：该函数在处理文件上传时，完全缺失了对上传文件类型的检查与验证机制。
• 攻击者画像：任何未经身份验证的攻击者（即普通的互联网访客）都可以利用此缺陷。
• 攻击链分析：攻击者只需向存在漏洞的 io_img_upload() 函数接口发送一个特制的 HTTP 请求，即可将任意文件（例如，一个包含恶意代码的 PHP 文件“webshell.php”）上传到目标服务器上。
• 最终影响：一旦恶意文件被成功上传，攻击者便可通过浏览器访问该文件，触发其中的恶意代码，最终在目标服务器上实现远程代码执行（RCE），从而获得对网站乃至整个服务器的完全控制权。

此漏洞的核心威胁在于其“无需认证”和“严重性（Critical）”等级，CVSS 评分高达 9.8，使其成为攻击者眼中的高价值目标。

暗网交易画像分析：攻击者“Baiden”的身份与活动模式

根据最新的情报来源，暗网用户“Baiden”的出售帖子揭示了当前威胁的活跃度和攻击者的动机。此外，我们还发现了“Baiden”的更多背景信息：

• 攻击者画像：

• 用户名：Baiden

• 平台身份：不仅是 DarkForums 的付费注册用户，还在 Exploit[.]in 等多个主流网络犯罪论坛进行售卖【用户提供截图】。这扩大了其潜在买家群体。

• 活动记录：自 2024 年 10 月 20 日起活跃，拥有 70 篇出版物，标签为“hacking”【用户提供截图】。

• 历史记录：Baiden 并非新手。根据记录，他曾在 2025 年 11 月以 6000 欧元 的价格出售过一个 WordPress 插件的零日漏洞（0day bug）。这证明他是一名有经验的惯犯，专门从事 WordPress 生态系统的漏洞挖掘与销售。

• 动机：经济驱动。明确标价 150 美元/人，并以“尚未公开（not yet public）”作为卖点，旨在吸引急于利用此零日漏洞的攻击者付费购买，从而实现利益最大化【用户提供截图】。

• 交易分析：

• 商业模式：“Per person（每人）”的销售模式表明，攻击者试图控制漏洞利用工具的传播范围，以避免因广泛泄露而过早被防御方捕获。

• 时间窗口：该漏洞于 2026 年 4 月 14 日被公开披露。而“Baiden”在同日或次日便发起销售，说明其可能早在漏洞公开前就已发现并开发了利用工具，展现了对漏洞资源的快速变现能力。

事件时间线与攻击活动复盘

整合所有已知信息，我们可以清晰地还原出“Baiden”此次攻击活动的时间线：

受影响资产测绘与暴露面评估

根据公开网络空间搜索引擎数据，全球范围内使用 WebStack 主题的网站数量庞大，主要集中在个人导航站、资源分享站、设计师作品集等。

• 潜在受影响资产：任何运行 WebStack 主题且版本号为 1.2024 及以下 的 WordPress 网站。

• 风险研判：

• 植入恶意链接：将网站改造成钓鱼站点或恶意软件分发点。

• 窃取数据库：获取网站用户信息。

• 成为跳板：利用失陷服务器向内网或其他系统发起进一步攻击。

• SEO 污染：利用网站权重发布垃圾广告内容。

1. 高利用性：漏洞利用门槛极低，无需任何前置条件。
2. 高价值目标：虽然 WebStack 主题多用于个人网站，但一旦被攻陷，攻击者可以：

鉴于当前 无可用官方补丁，所有受影响网站均暴露在高危风险之中。

防御与处置建议

鉴于暂无官方补丁，建议相关用户和管理员立即采取以下紧急缓解措施，以防被攻击者利用：

1. 立即停用或替换主题： 最彻底的缓解措施是立即停用 WebStack 主题，并寻找其他安全、有保障的替代主题。这是目前阻断此攻击路径最有效的方法。
2. 部署虚拟补丁： 对于无法立即停用该主题的用户，建议使用 Web 应用防火墙（WAF），并编写自定义规则，对上传文件的内容类型（Content-Type）和文件扩展名进行严格检查，拦截所有可疑的上传请求。
3. 最小权限原则： 确保 Web 服务器运行在最低权限账户下，并将 /wp-content/uploads/ 目录配置为 禁止执行 PHP 脚本。这可以极大地限制攻击者上传 Webshell 后造成的破坏。
4. 持续监控与狩猎：

• Web 日志监控：密切监控 Web 访问日志，重点查找状态码为 200 的 POST 请求，其 URL 路径指向主题的上传功能（例如，/wp-content/themes/webstack/...）。
• 文件完整性监控：对 /wp-content/uploads/ 目录下的新创建文件，尤其是 .php、.phtml 等可执行脚本文件，进行实时告警。

最终结论

CVE-2026-1555 是一个已验证、无补丁、且已被用于在野攻击的高危漏洞。 攻击者“Baiden”是一个有前科的 WordPress 漏洞“职业卖家”，他正在 Exploit[.] 和 DarkForums 等多个主流暗网论坛以 150 美元的价格积极出售其利用工具。该利用窗口稍纵即逝。

威胁等级评估：紧急（Critical）

情报来源：

• DarkCTI 暗网威胁情报监测系统
• Wordfence 官方安全公告
• Exploit 暗网论坛
• DarkForums 暗网论坛
• RedHotCyber 安全新闻

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：李白你好 助力行业的 助力行业的《WebStack系统CVE-2026-1555漏洞，支持未授权任意文件上传——RCE POC遭贩卖》