关联漏洞
标题:
WordPress plugin WPCargo Track & Trace 代码问题漏洞
(CVE-2021-25003)
描述:WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin WPCargo Track & Trace 6.9.0 之前版本存在代码问题漏洞,该漏洞源于该插件包含一个文件,该文件允许未经身份验证的攻击者在 Web 服务器的任何位置写入 PHP 文件,从而导致远程执行代码或命令。
描述
WPCargo < 6.9.0 - Unauthenticated RCE
介绍
# CVE-2021-25003
[](https://www.python.org/)
```
Title: WPCargo < 6.9.0 - Unauthenticated RCE
Author: Krzysztof Zając [ https://kazet.cc/ ]
CVE: CVE-2021-25003
```
### Installation
```
git clone https://github.com/biulove0x/CVE-2021-25003.git
cd CVE-2021-25003/
python3 -m pip install -r requirements.txt
```
### How to run autoexploit
```
$ python3 WpCargo.py --help
############################################
# @author : biulove0x #
# @name : WP Plugins WPCargo Exploiter #
# @cve : CVE-2021-25003 #
############################################
usage: exploit.py [-h] [-t example.com] [-l target.txt]
CVE-2021-25003 [ WPCargo < 6.9.0 - Unauthenticated RCE ]
optional arguments:
-h, --help show this help message and exit
-t example.com Single target
-l target.txt Multiple target
```
#### Single target
```
$ python3 WPCargo.py -t http://example.com/
```
#### Multiple target
```
$ cat domains.txt
http://example.com/
https://examples.com/
$ python3 WPCargo.py -l target.txt
```
### References :
* https://wpscan.com/vulnerability/5c21ad35-b2fb-4a51-858f-8ffff685de4a
### Donate :
BTC : bc1qst09sxcnq97a4wgsqvpkg4fxyjczvs3xe7278h
BNB : bnb1jhp2hv9utr8u97387p35fmftgr8wpjp39altz0
[](https://www.buymeacoffee.com/biulove0x)
文件快照
[4.0K] /data/pocs/3fd516690ae6d4f6eebfbc72617c80fc3653ce93
├── [1.4K] README.md
├── [ 37] requirements.txt
└── [3.5K] WpCargo.py
0 directories, 3 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。