murrez/CVE-2026-1306

# CVE-2026-1306 — midi-Synth (WordPress) 针对 WordPress **midi-Synth** 插件的 [CVE-2026-1306](https://nvd.nist.gov/vuln/detail/CVE-2026-1306) 的基于 Python 的、支持多目标执行的 **PoC / 列表运行器**。 ## 功能介绍 - 通过 HTTP 从目标网站加载了 `[midiSynth]` 短代码的页面中提取 `midiSynth_nonce` 值。 - 向 `wp-admin/admin-ajax.php` 发送 `action=export` 请求；载荷通过 Base64 编码的 `fileMidi` 字段传输。 - 基于某些版本的行为，即使 API 密钥验证失败，文件仍有可能残留在 `wp-content/plugins/midi-synth/sound/` 目录下。 - 验证推测成功获取的 shell URL，并将其写入 `shell.txt` 文件。 **仅在获得授权的环境**（实验室、签订合同的渗透测试等）中使用。 ## 影响范围（摘要） | | | |---|---| | **漏洞** | `export` AJAX 操作中文件类型/扩展名校验不足 (CWE-434) | | **受影响版本** | 根据发布记录为 **≤ 1.1.0**；请检查插件版本说明以获取补丁信息 | | **CVSS 3.1** | 9.8 严重 (NVD) | ## 环境要求 - Python 3.x - `requests` ## 安装 ``` pip install requests ``` ## 使用方法 创建一个逐行列出目标的文本文件（以 `#` 开头的行被视为注释）。 ``` python "CVE-2026-1306 midi.py" hedefler.txt ``` 如果包含 nonce 的页面路径因网站而异： ``` python "CVE-2026-1306 midi.py" hedefler.txt --paths /,/blog/midi/,/sayfa/ ``` 脚本默认会尝试以下路径：`/`、`/midi/`、`/midi-synth/`、`/synth/`、`/welcome/`。 ## 输出 - 控制台：进度和摘要 - 成功的 URL：`shell.txt`（追加模式） - 上传的示例文件名在脚本中硬编码为 `murrez.php` ## 技术说明 - TLS 证书验证已关闭（`verify=False`）；仅建议在非生产环境的测试中使用。 - 并发数：20 个线程。 - 帮助输出中显示的示例文件名可能为 `CVE-2026-1306.py`；由于此仓库中的实际文件名为 **`CVE-2026-1306 midi.py`**，请在命令中使用引号将文件名括起来。 ## 防御建议 - 更新插件，或在受影响的版本中卸载/禁用该插件。 - 如有必要，请对 `export` AJAX 或相关端点应用 WAF/访问限制。 ## 免责声明 本软件仅用于**教育**和**授权的安全测试**目的。严禁未经授权的使用；因使用本软件所产生的一切责任由用户自行承担。 ## 参考来源 - [NVD — CVE-2026-1306](https://nvd.nist.gov/vuln/detail/CVE-2026-1306)

标签：AJAX, CISA项目, CVE-2026-1306, CWE-434, EXP, Maven, midi-Synth, Nonce绕过, PoC, Python, Webshell, Web安全, WordPress, 任意文件上传, 列表扫描器, 安全测试, 插件漏洞, 攻击性安全, 数据展示, 文件上传漏洞, 无后门, 暴力破解, 漏洞验证, 红队, 网络信息收集, 网络安全, 蓝队分析, 逆向工具, 隐私保护