关联漏洞
标题:WordPress plugin ARMember 安全漏洞 (CVE-2022-1903)Description:WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin ARMember 3.4.8之前版本存在安全漏洞,该漏洞源于插件缺少随机数和授权检查。攻击者利用该漏洞可以更改任意用户名的密码。
Description
ARMember < 3.4.8 - Unauthenticated Admin Account Takeover
介绍
# CVE-2022-1903
[](https://www.python.org/)
```
Title: ARMember < 3.4.8 - Unauthenticated Admin Account Takeover
Author: Cyllective [ https://cyllective.com/ ]
CVE: CVE-2022-1903
```
### Installation
```
git clone https://github.com/biulove0x/CVE-2022-1903.git
cd CVE-2022-1903/
python3 -m pip install -r requirements.txt
```
### How to run autoexploit
```
$ python3 ARMember.py --help
###########################################
# @author : biulove0x #
# @name : WP Plugins ARMember Exploiter #
# @cve : CVE-2022-1903 #
###########################################
usage: armember.py [-h] [-t example.com] [-l target.txt]
CVE-2022-1903 [ ARMember < 3.4.8 - Unauthenticated Admin Account Takeover ]
optional arguments:
-h, --help show this help message and exit
-t example.com Single target
-l target.txt Multiple target
```
#### Single target
```
$ python3 ARMember.py -t http://example.com/
```
#### Multiple target
```
$ cat domains.txt
http://example.com/
https://examples.com/
$ python3 ARMember.py -l target.txt
```
### References :
* https://wpscan.com/vulnerability/28d26aa6-a8db-4c20-9ec7-39821c606a08
### Donate :
BTC : bc1qst09sxcnq97a4wgsqvpkg4fxyjczvs3xe7278h
BNB : bnb1jhp2hv9utr8u97387p35fmftgr8wpjp39altz0
[](https://www.buymeacoffee.com/biulove0x)
文件快照
[4.0K] /data/pocs/39c37aaab18e83dd19c390f49d9e24cb3643f4bd
├── [3.4K] ARMember.py
├── [1.5K] README.md
└── [ 39] requirements.txt
0 directories, 3 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。