bootstrapbool/cve-2026-4257

# CVE-2026-4257 此漏洞利用 CVE-2026-4257，这是一个存在于 Supsystic 开发的“Contact Form”WordPress 插件（版本 1.7.36 及更早版本）中的服务器端模板注入（SSTI）漏洞。该漏洞允许未经身份验证的攻击者实现远程代码执行。 该漏洞存在于 `formsViewCfs` 类的 `generateHtml()` 函数中，该函数会接受通过任意一个联系人表单字段参数传递的用户控制输入（前提是该字段类型合适）。 * 在 Ubuntu 24.04 上测试，使用 Contact Form by Supsystic 版本 1.7.36 ## Python 脚本选项 * 参见 msf-exploit.md 获取模块文档。 ### --field 用于注入载荷的字段。该字段必须是联系人表单中有效且类型合适的字段。 接受用户输入并已确认可导致 RCE 的字段类型包括：文本（Text）、文本区域（Textarea）、数字（Number）、电子邮件（Email）、时间（Time）和网址（URL）。按钮（Button）类型字段无效。 默认字段为 first_name、last_name、subject、message 和 email，但其中任何一个都可以被更改或移除。 如果未传递 FIELD 参数，模块将尝试从 HTML 中推导字段，但不会执行类型检测，因此检测到的字段可能为无效类型。仅使用第一个推导出的字段，但你可以手动尝试输出的其他字段。 ### --no-color 禁止使用 ANSI 转义码（适用于管道输出）。 ### payload 要执行的 shell 命令。 ### url 目标应用程序的 URL，包括包含易受攻击联系人表单页面的完整文件路径（例如：http://10.0.0.9/wordpress/index.php/sample-page）

标签：API密钥检测, CISA项目, Contact Form, CVE, Cve-2026-4257, Exploit, Python, RCE, RuleLab, SSTI, Web安全, WordPress, 云资产清单, 代码生成, 反取证, 威胁模拟, 安全评估, 插件安全, 攻击向量, 数字签名, 无后门, 服务端模板注入, 渗透测试工具, 编程工具, 自动化漏洞利用, 蓝队分析, 输入验证, 远程代码执行, 逆向工具, 逆向工程