HIGHCVE-2026-39468CVSS 8.1

Meta Box <= 5.11.1 - 认证 (贡献者+) 任意文件删除

Q: 什么是 CVE-2026-39468 — 任意文件访问漏洞 Meta Box WordPress 插件?

CVE-2026-39468 是 Meta Box WordPress 插件中发现的任意文件访问漏洞，允许攻击者删除服务器上的文件，可能导致远程代码执行。影响 Meta Box WordPress 插件版本小于等于 5.11.1。

Q: 我是否受到 CVE-2026-39468 在 Meta Box WordPress 插件中的影响?

如果您正在使用 Meta Box WordPress 插件，并且版本低于 5.11.1，那么您可能受到此漏洞的影响。请立即检查您的插件版本并升级。

Q: 如何修复 CVE-2026-39468 在 Meta Box WordPress 插件中的漏洞?

修复此漏洞的最佳方法是立即将 Meta Box WordPress 插件升级到 5.11.2 或更高版本。

Q: CVE-2026-39468 是否正在被积极利用?

虽然目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，建议尽快修复。

Q: 在哪里可以找到 Meta Box 官方关于 CVE-2026-39468 的公告?

请访问 Meta Box 官方网站或 GitHub 仓库，查找关于 CVE-2026-39468 的安全公告。

平台

wordpress

组件

meta-box

修复版本

5.11.2

AI Confidence: highNVD已审阅: 2026年5月

在NVD查看

保存

Meta Box WordPress 插件存在任意文件访问漏洞 (CVE-2026-39468)，由于文件路径验证不足，攻击者可以删除服务器上的任意文件。该漏洞影响 Meta Box WordPress 插件版本小于等于 5.11.1。及时升级到 5.11.2 版本可以有效缓解此风险。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

攻击者可以利用此漏洞删除服务器上的任意文件，例如 wp-config.php。删除 wp-config.php 文件将导致 WordPress 站点无法正常运行，并可能泄露敏感信息。更严重的后果是，攻击者可以通过删除特定文件来执行恶意代码，从而完全控制服务器。此漏洞的潜在影响范围广泛，可能导致数据泄露、服务中断，甚至服务器被完全控制。

利用背景

该漏洞已公开披露，存在公开的利用方法。目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，建议尽快修复。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。

哪些人处于风险中翻译中…

WordPress sites utilizing the Meta Box plugin, particularly those with a large number of users with Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites relying on older, unpatched versions of Meta Box are most exposed.

检测步骤翻译中…

• wordpress / composer / npm:

wp plugin list --status=active | grep 'Meta Box'

• wordpress / composer / npm:

wp plugin update --all

• wordpress / composer / npm:

wp plugin status meta-box-plugin

• wordpress / composer / npm:

find /var/www/html/wp-content/plugins/meta-box/ -type f -name '*delete.php*'

攻击时间线

2026-04-13Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

CVSS 向量

这些指标意味着什么？

Attack Vector: 网络 — 可通过互联网远程利用，无需物理或本地访问。攻击面最大。
Attack Complexity: 低 — 无需特殊条件，可以稳定地利用漏洞。
Privileges Required: 低 — 任何有效用户账户均可。
User Interaction: 无 — 攻击自动且无声，受害者无需任何操作。
Scope: 未改变 — 影响仅限于脆弱组件本身。
Confidentiality: 无 — 无机密性影响。
Integrity: 高 — 攻击者可写入、修改或删除任何数据。
Availability: 高 — 完全崩溃或资源耗尽，完全拒绝服务。

受影响的软件

组件meta-box

供应商wordfence

影响范围修复版本

5.11.15.11.2

软件包信息

活跃安装数: 500K热门
插件评分: 4.8
需要WordPress版本: 6.5+
兼容至: 6.9.4
需要PHP版本: 7.4+

主页

弱点分类 (CWE)

CWE-22

时间线

发布日期2026-04-13
修改日期2026-04-21

披露后-39天发布补丁

缓解措施和替代方案

最有效的缓解措施是立即将 Meta Box WordPress 插件升级到 5.11.2 或更高版本。如果无法立即升级，可以尝试限制 Contributor 权限及以上用户的访问权限，以降低攻击面。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止可疑的文件删除请求。监控 WordPress 插件目录，及时发现并处理异常文件操作。

修复方法

更新到 5.11.2 版本，或更新的补丁版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-39468 — 任意文件访问漏洞 Meta Box WordPress 插件?

CVE-2026-39468 是 Meta Box WordPress 插件中发现的任意文件访问漏洞，允许攻击者删除服务器上的文件，可能导致远程代码执行。影响 Meta Box WordPress 插件版本小于等于 5.11.1。

我是否受到 CVE-2026-39468 在 Meta Box WordPress 插件中的影响?

如果您正在使用 Meta Box WordPress 插件，并且版本低于 5.11.1，那么您可能受到此漏洞的影响。请立即检查您的插件版本并升级。

如何修复 CVE-2026-39468 在 Meta Box WordPress 插件中的漏洞?

修复此漏洞的最佳方法是立即将 Meta Box WordPress 插件升级到 5.11.2 或更高版本。

CVE-2026-39468 是否正在被积极利用?

虽然目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，建议尽快修复。

在哪里可以找到 Meta Box 官方关于 CVE-2026-39468 的公告?

请访问 Meta Box 官方网站或 GitHub 仓库，查找关于 CVE-2026-39468 的安全公告。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE