关联漏洞
标题:
WordPress Job Manager插件安全漏洞
(CVE-2015-6668)
描述:WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Job Manager是其中的一个任务管理器插件。 WordPress Job Manager插件0.7.25之前的版本中存在安全漏洞。远程攻击者可借助暴力破解攻击利用该漏洞读取任意的CV文件。
描述
CVE-2015-6668, relacionada con el plugin WP Job Manager para WordPress (versiones ≤ 0.7.25).
介绍
# CV Filename Disclosure Scanner – CVE-2015-6668
Este script automatiza la búsqueda de archivos de CV (como `.jpg`, `.png`, `.jpeg`) expuestos públicamente mediante la vulnerabilidad [CVE-2015-6668](https://nvd.nist.gov/vuln/detail/CVE-2015-6668), relacionada con el plugin **WP Job Manager** para WordPress (versiones ≤ 0.7.25).
## 🧠 Descripción
La vulnerabilidad permite conocer el nombre exacto de un archivo subido por los usuarios (por ejemplo, currículums) accediendo directamente a rutas de carga predecibles en el servidor web.
Este script:
- Construye rutas basadas en nombre, año, mes y extensiones.
- Realiza requests HTTP a cada URL posible.
- Muestra una barra de progreso interactiva con `tqdm`.
- Resalta en color verde las URLs encontradas.
- Guarda los resultados en `found_cv_urls.txt`.
## 🛠️ Requisitos
Instala las dependencias ejecutando:
```bash
pip install -r requirements.txt
````
### 📦 `requirements.txt`
```txt
requests
tqdm
colorama
````
## 🚀 Uso
```bash
python jobmanagerdisclosure.py
```
### Ejemplo de ejecución:
```bash
Enter a vulnerable website (e.g. https://example.com): https://example.com
Enter the CV file name (e.g. John Doe): HackerAccessGranted
Enter start year (e.g. 2017): 2017
Enter end year (e.g. 2019): 2019
```
### Resultado:
```text
[+] Found CV: https://example.com/wp-content/uploads/2018/04/HackerAccessGranted.png
[+] Results saved to found_cv_urls.txt
```
## 📂 Archivos
* `jobmanagerdisclosure.py`: Script principal.
* `requirements.txt`: Librerías necesarias.
* `found_cv_urls.txt`: Archivo generado con URLs encontradas.
* `README.md`: Documentación del proyecto.
## 🛡️ CVE Referencia
* [https://nvd.nist.gov/vuln/detail/CVE-2015-6668](https://nvd.nist.gov/vuln/detail/CVE-2015-6668)
## ⚠️ Disclaimer
Este script se proporciona **solo con fines educativos**. No está destinado a ser utilizado en sistemas sin autorización explícita. El uso no autorizado de este script puede ser ilegal.
文件快照
[4.0K] /data/pocs/0c3bfa77ccd45fc5510eb3fbc767af7603a36294
├── [2.5K] job_manager_disclosure.py
└── [2.0K] README.md
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。