CVE-2026-58480: Kritisk fejl i Blocksy Companion Pro
Kritisk fejl i WordPress-plugin Blocksy Companion Pro lader hackere uploade skadelige filer og overtage dit website uden login.
Hvad er det?
Blocksy Companion Pro er et populært WordPress-plugin, der tilføjer ekstra funktioner til Blocksy-temaet. En kritisk sikkerhedsfejl (CVE-2026-58480) gør det muligt for angribere at uploade skadelige programfiler til dit website — helt uden at have et brugernavn eller adgangskode. Fejlen opstår i den del af pluginnet, der håndterer skrifttyper (Custom Fonts). Et sikkerhedstjek, der skal afvise farlige filtyper, kan snydes ved at navngive en fil fx shell.woff2.php. Systemet ser .woff2 og tror fejlagtigt, det er en skrifttype. Men serveren kører filen som PHP-kode (dvs. som et program), og angriberen har nu fuld kontrol.
Hvem rammer det?
Alle virksomheder og organisationer, der driver et WordPress-website med Blocksy Companion Pro i en version ældre end 2.1.47, er i risiko. Det gælder uanset branche og størrelse — fra webshops og restauranter til advokatfirmaer og foreninger. Sårbarheden kræver ingen forudgående adgang, så alle websites, der er tilgængelige via internettet, kan angribes.
Hvad kan ske?
Hvis en angriber udnytter denne fejl, kan vedkommende:
- Uploade og køre egne programmer på din webserver (såkaldt Remote Code Execution — fjernkørsel af kode)
- Stjæle følsomme data fra din database, herunder kundeoplysninger, ordrer og adgangskoder
- Installere bagdøre (skjulte adgange) og holde adgangen til dit site, selv efter du opdager angrebet
- Omdanne dit website til et springbræt for angreb mod dine kunder eller samarbejdspartnere
- Slette eller kryptere data — potentielt som led i et ransomware-angreb
Hvor alvorligt er det?
CVSS-scoren er 9.8 ud af 10 (Kritisk). Det er den næsthøjeste mulige score. Sårbarheden er kritisk, fordi:
- Angrebet kan udføres over internettet uden login eller særlige rettigheder
- Det kræver ingen handling fra din side eller dine brugeres side for at lykkes
- Konsekvenserne rammer fortrolighed, integritet og tilgængelighed fuldt ud
Med andre ord: En angriber kan angribe dit site fra enhver computer i verden, på ethvert tidspunkt, helt automatisk.
Hvad gør jeg nu?
Opdatér pluginnet hurtigst muligt. Sådan gør du det trin for trin:
- Log ind på dit WordPress-adminpanel (typisk via dit-domæne.dk/wp-admin).
- Gå til Plugins → Installerede plugins og find Blocksy Companion Pro i listen.
- Klik på ‘Opdatér nu’ for at installere version 2.1.47 eller nyere. Har du automatiske opdateringer slået til, er den muligvis allerede installeret — tjek versionnummeret.
- Bekræft opdateringen ved at se, at versionnummeret nu er 2.1.47 eller højere.
- Tjek dine uploadmapper for ukendte filer (fx via dit hostingpanels filhåndtering), særligt i mapper som /wp-content/uploads/. Kontakt din webmaster eller IT-partner, hvis du er usikker.
- Skift adgangskoder til WordPress-admin og din hostingkonto som en ekstra sikkerhedsforanstaltning.
Opdatér inden for 24–48 timer
Vi anbefaler, at du opdaterer Blocksy Companion Pro til version 2.1.47 eller nyere straks. Sårbarheden er nem at udnytte og kræver ingen teknisk forviden fra angriberen — der vil hurtigt dukke automatiserede scanninger og angrebsværktøjer op, der leder målrettet efter sårbare WordPress-sites. Har du ikke selv adgang til at opdatere, så kontakt din webmaster eller IT-leverandør i dag og bed dem håndtere det med det samme. Overvej også fremadrettet at aktivere automatiske plugin-opdateringer for at mindske risikoen for lignende situationer.
Tidslinje
Konkrete eksempler
Webshop overtaget via falsk skrifttype-fil
En angriber identificerer en webshop, der kører Blocksy Companion Pro i en ældre version. Via butikssidens offentlige funktion til anmeldelser uploader angriberen en fil kaldet webshell.woff2.php. Systemet godkender filen, fordi det ser .woff2 i filnavnet. Herefter åbner angriberen filen i sin browser og har nu fuld adgang til webserveren — inklusiv alle kunders navn, adresse og ordrehistorik.
Bagdør installeret til senere misbrug
En angriber uploader en skjult bagdørsfil til et sårbart WordPress-site tilhørende en advokatvirksomhed. Filen ligger stille i ugevis uden at gøre noget mærkbart. Senere aktiveres bagdøren, og angriberen henter fortrolige klientdokumenter fra serveren — uden at virksomheden opdager det, før skaden er sket.
Ransomware via kompromitteret webserver
Via den uploadede PHP-fil får en angriber adgang til serverens filsystem og planterer ransomware-kode. Alle filer på serveren — herunder backups gemt på samme server — krypteres. Virksomheden modtager en løsesumsbesked og oplever nedetid på sit website i flere dage, mens situationen håndteres.
Ofte stillede spørgsmål
Hvordan ved jeg, om mit site er sårbart?
Log ind på dit WordPress-adminpanel, gå til Plugins → Installerede plugins, og tjek om du har Blocksy Companion Pro installeret. Hvis versionnummeret er lavere end 2.1.47, er dit site sårbart og skal opdateres straks.
Kan jeg bare deaktivere pluginnet i stedet for at opdatere?
Ja, deaktivering af Blocksy Companion Pro lukker sikkerhedshullet midlertidigt, men du mister samtidig de funktioner, pluginnet leverer. Det kan være en kortvarig løsning, hvis du ikke kan opdatere med det samme — men en opdatering til 2.1.47 er den rigtige og anbefalede løsning.
Kan jeg se, om nogen allerede har udnyttet fejlen på mit site?
Du kan undersøge din servers uploadmappe (typisk /wp-content/uploads/) for mistænkelige filer med dobbelte filendelser som fx .woff2.php. Tjek også dine serverlogfiler for usædvanlig aktivitet. Hvis du ikke selv kan gøre det, kan din webmaster eller et sikkerhedsfirma hjælpe med en gennemgang.
Er min WordPress-installation i øvrigt sikker, når jeg har opdateret?
En opdatering lukker denne specifikke sårbarhed, men WordPress-sikkerheden afhænger af mange faktorer: regelmæssige opdateringer af alle plugins, temaer og selve WordPress-kernen, stærke adgangskoder og to-faktor-godkendelse. Vi anbefaler en generel sikkerhedsvurdering af dit site, hvis du ikke allerede har én på plads.
Gælder dette også den gratis version af Blocksy Companion?
Ifølge de tilgængelige oplysninger vedrører sårbarheden specifikt Blocksy Companion Pro (den betalte version). Den gratis version af Blocksy Companion ser ikke ud til at indeholde den sårbare funktion. Er du i tvivl om, hvilken version du bruger, så tjek dit adminpanel under Plugins.
Hvad er CWE-434, og hvorfor er det farligt?
CWE-434 betegner en sikkerhedsfejl, hvor et system tillader upload af farlige filtyper, fordi valideringen (kontrollen af filtypen) er mangelfuld. I dette tilfælde kan man narre systemet med et dobbelt filnavn som shell.woff2.php, så tjekket godkender filen, men serveren kører den som et PHP-program. Det er farligt, fordi det giver en angriber fuld kontrol over serveren.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Blocksy Companion Pro plugin for WordPress before 2.1.47 contains an unauthenticated arbitrary file upload vulnerability that allows attackers to upload executable files by bypassing extension validation in the save_attachments function exposed through the Advanced Reviews feature. Attackers can exploit the Custom Fonts extension’s flawed strpos() substring check by uploading double-extension filenames such as shell.woff2.php, causing the validation to pass on the substring match while the web server executes the file as PHP, achieving remote code execution.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
