tausifzaman/CVE-2026-3844

# CVE-2026-3844 针对 CVE-2026-3844 的 PoC 漏洞利用程序。该漏洞是 WordPress Breeze 插件中一个严重的未经身份验证的文件上传漏洞，可导致 RCE。 ## 📌 概述 **CVE-2026-3844** 是 **Breeze Cache WordPress 插件**（由 Cloudways 开发）中的一个**严重 (CRITICAL)** 的未经身份验证的任意文件上传漏洞，影响**包括 2.4.4 及之前的所有版本**。 本仓库提供了用于授权安全研究、渗透测试和负责任漏洞披露的**概念验证 (PoC) 漏洞利用程序** (`CVE-2026-3844.py`)。 ## 一行代码 ``` git clone https://github.com/tausifzaman/CVE-2026-3844.git && cd CVE-2026-3844 && python3 ``` ## 📊 漏洞摘要 | 字段 | 详情 | |------------------------|-------------------------------------------------------------------------| | **CVE ID** | CVE-2026-3844 | | **插件** | Breeze Cache (由 Cloudways 开发) | | **受影响版本** | 所有版本 ≤ 2.4.4 | | **已修复版本** | Breeze 2.4.5+ | | **漏洞类型** | CWE-434 — 不受限制的危险类型文件上传 | | **CVSS v3.1 评分** | **9.8 (严重)** | | **CVSS v2.0 评分** | **10.0 (严重)** | | **CVSS 向量** | `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` | | **攻击向量** | 网络 (远程) | | **所需身份验证** | ❌ 无 — 未经身份验证 | | **前提条件** | 必须启用 "Host Files Locally – Gravatars" (默认禁用) | | **影响** | 机密性：高 · 完整性：高 · 可用性：高 | | **发布日期** | 2026-04-23 | | **来源** | Wordfence / NVD / MITRE | | **PoC** | [Tausif Zaman](https://tausifzaman.online) | ## 🔍 漏洞详情 ### 根本原因 当启用 **"Host Files Locally – Gravatars"** 功能时，WordPress 的 **Breeze Cache** 插件会获取远程的 Gravatar 图像并将其存储在本地。`class-breeze-cache-cronjobs.php` 文件中（第 89–119 行）的易受攻击函数 `fetch_gravatar_from_remote` 对获取的远程内容**没有执行任何文件类型或扩展名验证**。 ``` class-breeze-cache-cronjobs.php └── fetch_gravatar_from_remote() ← ❌ No file type validation └── Saves remote content directly to disk └── Attacker controls → uploads .php webshell → RCE ``` ### 攻击流程 ``` Attacker (Unauthenticated) │ ▼ Craft malicious HTTP request with PHP webshell URL as Gravatar │ ▼ Plugin fetches & saves the .php file without validation │ ▼ Webshell stored on server (e.g., /wp-content/breeze-cache/evil.php) │ ▼ Attacker accesses webshell → Full RCE achieved ``` ### 影响 如果被成功利用，攻击者可以： - 🔴 执行任意操作系统命令 (RCE) - 🔴 上传持久性后门 / Webshell - 🔴 创建恶意的 WordPress 管理员账户 - 🔴 窃取数据库、凭据和敏感文件 - 🔴 篡改网页或删除所有内容 - 🔴 利用服务器横向渗透到同一网络中的其他系统 - 🔴 将服务器招募为僵尸网络节点 ## ⚙️ 环境要求 - Python 3.6+ - `requests` 库 - 目标站点运行着 **Breeze Cache ≤ 2.4.4** 并且启用了 **"Host Files Locally – Gravatars"** 功能 ## 🚀 安装与设置 ### 🐧 Linux / Termux (Android) ``` # Clone 仓库 git clone https://github.com/tausifzaman/CVE-2026-3844.git && cd CVE-2026-3844 && python3 CVE-2026-3844.py # 进入目录 cd CVE-2026-3844 # 安装依赖 pip install -r requirements.txt # 运行 exploit python3 CVE-2026-3844.py ``` ### 🪟 Windows (CMD / PowerShell) ``` git clone https://github.com/tausifzaman/CVE-2026-3844.git cd CVE-2026-3844 pip install -r requirements.txt python CVE-2026-3844.py ``` ### 🍎 macOS ``` git clone https://github.com/tausifzaman/CVE-2026-3844.git cd CVE-2026-3844 pip3 install -r requirements.txt python3 CVE-2026-3844.py ``` ### 🤖 Termux (单行命令) ``` pkg install python git -y && git clone https://github.com/tausifzaman/CVE-2026-3844.git && cd CVE-2026-3844 && pip install -r requirements.txt && python3 CVE-2026-3844.py ``` ### ☁️ Google Cloud Shell (无需设置) [](https://console.cloud.google.com/cloudshell/editor?project=&pli=1&shellonly=true) ``` git clone https://github.com/tausifzaman/CVE-2026-3844.git && cd CVE-2026-3844 && pip install -r requirements.txt && python3 CVE-2026-3844.py ``` ## 💻 使用方法 ``` python3 CVE-2026-3844.py ``` ### 选项 ``` usage: CVE-2026-3844.py [-h] -u URL [-t TIMEOUT] [-o OUTPUT] [-v] CVE-2026-3844 — Breeze Cache WordPress Plugin Arbitrary File Upload PoC optional arguments: -h, --help Show this help message and exit -u URL, --url URL Target URL (e.g. https://target.com) -t TIMEOUT Request timeout in seconds (default: 10) -o OUTPUT Save webshell path to output file -v, --verbose Enable verbose/debug output ``` ### 示例 ``` # 基本用法 python3 CVE-2026-3844.py -u https://vulnerable-site.com # Verbose 模式 python3 CVE-2026-3844.py -u https://vulnerable-site.com -v # 自定义 timeout python3 CVE-2026-3844.py -u https://vulnerable-site.com -t 20 -v ``` ## 🖥️ PoC 演示输出 ``` ╔══════════════════════════════════════════════════════╗ ║ CVE-2026-3844 | Breeze Cache WP RCE ║ ║ Researcher: tausifzaman.online ║ ╚══════════════════════════════════════════════════════╝ [*] Target : https://vulnerable-site.com [*] CVE : CVE-2026-3844 [*] Plugin : Breeze Cache ≤ 2.4.4 [*] Type : Unauthenticated Arbitrary File Upload → RCE [*] Checking target... [+] Breeze Cache plugin detected! [+] "Host Files Locally – Gravatars" is ENABLED [*] Uploading PHP webshell via fetch_gravatar_from_remote... [+] File uploaded successfully! [+] Webshell path: /wp-content/breeze-cache/avatar_a1b2c3.php [*] Verifying RCE... [+] RCE CONFIRMED! [+] Command output (id): uid=33(www-data) gid=33(www-data) groups=33(www-data) [+] Full server compromise achieved. [*] Cleanup: Remove /wp-content/breeze-cache/avatar_a1b2c3.php after testing. ``` ## 🔒 缓解与修复 ### ✅ 立即行动 ``` # WordPress CLI — 立即更新 Breeze 插件 wp plugin update breeze ``` ### 🛡️ 临时缓解措施（如果无法立即更新） 1. 在 Breeze Cache 设置中**禁用** "Host Files Locally – Gravatars" 选项 2. 通过 WAF 规则或 `.htaccess` **阻止易受攻击的端点** 3. 在 uploads 和 cache 目录中**拒绝 PHP 执行**： ``` # 添加到 /wp-content/uploads/.htaccess 和 /wp-content/cache/.htaccess deny from all ``` 4. **扫描新创建或修改过的可疑文件：** ``` # 查找 wp-content 中最近修改的 PHP 文件（可能的 webshells） find /var/www/html/wp-content -name "*.php" -newer /var/www/html/wp-config.php -ls # 搜索常见 webshell 特征 grep -r "eval(base64_decode" /var/www/html/wp-content/ grep -r "system\|exec\|passthru\|shell_exec" /var/www/html/wp-content/cache/ ``` 5. 通过您的 WAF **阻止针对 Gravatar 获取功能的可疑 POST 请求** 6. **监控访问日志**中针对 `/wp-content/breeze-cache/*.php` 的请求 ``` # 监控 Apache/Nginx access logs 以查看 webshell 命中情况 grep "breeze-cache.*\.php" /var/log/apache2/access.log grep "breeze-cache.*\.php" /var/log/nginx/access.log ``` ### 🔍 检查是否已被入侵 ``` # 检查 Breeze cache 目录中是否存在意外的 PHP 文件 find /var/www/html/wp-content/breeze-cache/ -name "*.php" # 检查最近创建的文件（过去 7 天） find /var/www/html/wp-content/ -name "*.php" -mtime -7 # 查找最近创建的 admin 账户（在 wp-mysql 中运行） SELECT user_login, user_registered FROM wp_users ORDER BY user_registered DESC LIMIT 10; ``` ## 📚 参考 | 来源 | 链接 | |--------|------| | 🔗 NVD (NIST) | [nvd.nist.gov/vuln/detail/CVE-2026-3844](https://nvd.nist.gov/vuln/detail/CVE-2026-3844) | | 🔗 MITRE CVE | [cve.mitre.org – CVE-2026-3844](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-3844) | | 🔗 Wordfence 公告 | [wordfence.com – Threat Intel](https://www.wordfence.com/threat-intel/vulnerabilities/id/e342b1c0-6e7f-4e2c-8a52-018df12c12a0?source=cve) | | 🔗 WordPress 插件更新日志 | [plugins.trac.wordpress.org/changeset/3511463/breeze](https://plugins.trac.wordpress.org/changeset/3511463/breeze) | | 🔗 易受攻击的代码 (L89) | [class-breeze-cache-cronjobs.php#L89](https://plugins.trac.wordpress.org/browser/breeze/tags/2.4.1/inc/class-breeze-cache-cronjobs.php#L89) | | 🔗 易受攻击的代码 (L119) | [class-breeze-cache-cronjobs.php#L119](https://plugins.trac.wordpress.org/browser/breeze/tags/2.4.1/inc/class-breeze-cache-cronjobs.php#L119) | | 🔗 GitHub 公告 | [GHSA-c529-q7mw-hq6j](https://github.com/advisories/GHSA-c529-q7mw-hq6j) | | 🔗 PoC 仓库 | [github.com/tausifzaman/CVE-2026-3844](https://github.com/tausifzaman/CVE-2026-3844) | ## 👤 作者 ## ⚠️ 法律免责声明 本仓库及其中的漏洞利用代码**严格仅用于教育目的和授权的安全研究**。 - ✅ 您可以在**您自己拥有**或获得**明确书面授权**进行测试的系统上使用此工具 - ❌ 未经授权将其用于第三方系统是**违法的**，违反了《计算机欺诈和滥用法》(CFAA)、《计算机滥用法》以及全球范围内的同等法律 - 作者对本工具的滥用、造成的损害或非法活动**不承担任何责任** **道德黑客，负责任地披露，保持合法。 🛡️**

标签：0day, Breeze插件, CISA项目, CVE-2026-3844, CVSS 9.8, CWE-434, PoC, Python, RCE, Web安全, WordPress, 任意文件上传, 提示词注入, 攻击路径可视化, 数据展示, 无后门, 暴力破解, 未授权文件上传, 漏洞复现, 红队, 编程工具, 网络安全, 蓝队分析, 远程代码执行, 隐私保护, 黑客工具