the8frust/CVE-2026-1492

# CVE-2026-1492 - WordPress User Registration 插件权限提升漏洞利用 ## 描述 本仓库包含 **CVE-2026-1492** 的概念验证漏洞利用代码，该漏洞影响 WordPress **User Registration & Membership** 插件。 该漏洞允许**未经身份验证的攻击者**通过滥用会员注册过程创建管理员账户。 👉 此处提供了该漏洞的完整技术分析： [技术分析](./ANALYSIS.md) 文中逐步解释了后端如何处理攻击者控制的数据，以及为何能够实现权限提升。 ## 漏洞详情 * **CVE ID**: CVE-2026-1492 * **组件**: User Registration & Membership Plugin (WPEverest) * **受影响版本**: <= 5.1.2 * **漏洞类型**: 权限管理不当 (CWE-269) * **需要身份验证**: 否 * **CVSS 评分**: 9.8 (严重) ## 根本原因 该插件在会员注册过程中不当信任了用户控制的输入。 具体来说： * 后端接受用户提供的 `role` * 未执行服务端白名单校验 * 该角色被直接应用于创建的用户 这允许攻击者设置： ``` "role": "administrator" ``` 并获得完整的管理员权限。 ## 影响 成功利用该漏洞可导致： * 完整的 WordPress 管理员权限 * 安装恶意插件/主题 * 执行任意 PHP 代码（通过管理面板） * 数据库泄露 * 完全控制网站 ## 利用流程 该漏洞通过多步骤 AJAX 过程触发： 1. 获取 CSRF token 和表单标识符 2. 通过 `user_registration_user_form_submit` 注册用户 3. 通过 `user_registration_membership_register_member` 触发会员注册 4. 注入恶意角色参数（`administrator`） ## 漏洞利用特性 * 自动提取 token（nonce, form_id, security） * 自动提取会员 ID * 会话处理（cookies） * 清晰的 CLI 输出 * 用于请求检查的调试模式 ## 使用方法 ``` python3 exploit.py -t http://target -ru 'http://target/?page_id=6' ``` ## 示例 ``` python3 exploit.py -t http://localhost:5000 -ru 'http://localhost:5000/?page_id=6' ``` ## 输出 ``` [*] Extracting tokens... [+] form_id: 5 [+] frontend_nonce: XXXXX [+] security: XXXXX [+] wpnonce: XXXXX [+] membership_id: 12 [*] Sending registration request... [+] User created [*] Sending membership request... [+] Privilege escalation successful ``` ## 后渗透阶段 使用生成的凭据登录： ``` http://target/wp-login.php ``` 然后访问管理面板： ``` http://target/wp-admin/ ``` 注意：管理员路径可能已被自定义。 ## 缓解措施 * 将插件更新至版本 **>= 5.1.3** * 如果无法打补丁，请禁用该插件 * 监控未授权的管理员账户创建 ## 免责声明 本漏洞利用代码仅供**教育目的和授权安全测试使用**。 请勿在未经许可的情况下对系统使用。 ## 参考资料 * CVE-2026-1492 (NVD) * Wordfence 咨询 * 公开漏洞利用报告

标签：CISA项目, CMS安全, CVE-2026-1492, CWE-269, JavaScript, PHP安全, PoC, User Registration插件, Web安全, Web报告查看器, WordPress漏洞, WPEverest, 协议分析, 文件完整性监控, 暴力破解, 未授权访问, 权限提升, 站点接管, 管理员账户创建, 编程工具, 蓝队分析, 远程代码执行, 逆向工具, 逻辑缺陷