joshuavanderpoll/CVE-2026-54806

GitHub: joshuavanderpoll/CVE-2026-54806

针对 WordPress 插件 WP Activity Log 中 CVE-2026-54806 未授权 PHP 对象注入导致盲注 RCE 漏洞的 PoC 利用与靶场工具。

Stars: 1 | Forks: 0

WP Activity Log PHP 对象注入 (CVE-2026-54806) PoC

Python

## 📜 描述 CVE-2026-54806 是 Melapress 开发的 WordPress 插件 WP Activity Log (wp-security-audit-log) 中存在的一个严重 (CVSS 9.8) 的无需身份验证的 PHP 对象注入漏洞。未经身份验证的攻击者可以在任何触发记录事件(例如登录失败)的请求中,通过 User-Agent header 注入序列化的 PHP 对象。注入的 payload 会存储在数据库中,并在管理员访问 WordPress 仪表盘时被无限制地反序列化,从而导致盲注远程代码执行(不会向攻击者返回任何输出)。 **受影响的插件:** WP Activity Log <= 5.6.3.1(在 5.6.4 版本中修复) **实现 RCE 的必要条件:** WordPress 6.4.0 - 6.4.1 — 此 PoC 使用了 WP_HTML_Token gadget,这是唯一一个所有属性均为 public、能够通过 `sanitize_text_field()` 且符合 255 字符列限制的 WP 核心链。 ## ✨ 功能 - **漏洞检测** — 通过 `--check` 进行非破坏性检测 - **命令执行** — 通过 `--command` 注入命令 - **反向 shell** — 通过 `--shell` 注入反向 shell - **文件写入** — 通过 `--write-file` 写入文件 - **无需身份验证** — 通过登录失败时的 User-Agent 注入 payload - **盲注 RCE** — 不返回命令输出;使用反向 shell 或文件写入进行交互 ## 🛠️ 安装 ### OSX/Linux ``` git clone https://github.com/joshuavanderpoll/CVE-2026-54806.git cd CVE-2026-54806 python3 -m venv .venv source .venv/bin/activate pip3 install -r requirements.txt ``` ### Windows ``` git clone https://github.com/joshuavanderpoll/CVE-2026-54806.git cd CVE-2026-54806 python3 -m venv .venv .venv\Scripts\activate pip3 install -r requirements.txt ``` ## ⚙️ 用法 ``` python3 cve-2026-54806.py -t --check python3 cve-2026-54806.py -t --command python3 cve-2026-54806.py -t --shell --lhost --lport python3 cve-2026-54806.py -t --write-file ``` ## 🐋 Docker PoC 包含 WordPress 6.4.1 + WP Activity Log 5.6.3.1 的独立实验室环境。 查看 [DOCKER.md](/docker/DOCKER.md) 了解详情。 ``` cd docker docker compose up -d python3 cve-2026-54806.py -t http://localhost:8080 --check ``` 该实验室包含一个每 60 秒访问一次仪表盘的 `admin-bot`,因此注入的 payload 会自动触发 — 无需手动交互。 ## 🕵🏼 参考 - [WP Activity Log — Melapress](https://melapress.com/wordpress-activity-log/) - [NVD — CVE-2026-54806](https://nvd.nist.gov/vuln/detail/CVE-2026-54806) - [Patchstack — CVE-2026-54806](https://patchstack.com/database/wordpress/plugin/wp-security-audit-log/vulnerability/wordpress-wp-activity-log-plugin-5-6-3-1-php-object-injection-vulnerability) ## 📢 免责声明 本工具仅供教育和研究目的使用。创作者对因使用本工具而造成的任何滥用或损害不承担任何责任。
标签:CISA项目, PHP对象注入, PoC, Python, WordPress插件, 安全漏洞, 无后门, 暴力破解, 编程工具, 请求拦截, 远程代码执行, 逆向工具