文章总结： Customcss-js-phpWordPress插件2.0.7及之前版本存在代码执行漏洞（CVE-2026-6433），因未对用户输入进行过滤直接传入eval()函数，导致未经身份验证的攻击者可执行任意PHP代码。CVSS评分7.1，影响约1678个资产。建议用户立即升级插件版本，并使用body=’wp-content/plugins/custom-css-js-php/’语法进行资产排查。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全,安全工具

【严重】FlipperCode 插件曝出 CVE-2026-6433：未经身份验证即可通过 eval() 接管系统

原创

爱坤 爱坤

爱坤sec

2026年5月14日 02:31 重庆

在小说阅读器读本章

去阅读

一 漏洞描述

2.0.7 及更早版本的 Custom css-js-php WordPress 插件在使用 SQL 查询之前没有正确清理用户输入，并将结果传递给 eval()，从而允许未经身份验证的用户在服务器上执行任意 PHP 代码。

CVSS 评分 7.1

二 影响版本

<= 2.0.7

三 搜索语法

body="wp-content/plugins/custom-css-js-php/"

四 影响范围

大约1678个资产

五 工具获取

后台回复CVE-2026-6433

【严重声明】本文所涉及的工具、思路和操作手法仅用于本地安全测试以及教育目的，禁止将其用于非法入侵或对他人的系统进行攻击以及盈利，一切后果由操作者自行承担！！！下载后的24小时请删除。

更多精彩文章与工具分享 欢迎关注

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱坤sec 爱坤 爱坤《【严重】FlipperCode 插件曝出 CVE-2026-6433：未经身份验证即可通过 eval() 接管系统》