关联漏洞
标题:
WordPress plugin Copypress Rest API 安全漏洞
(CVE-2025-8625)
描述:WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Copypress Rest API 1.1版本至1.2版本存在安全漏洞,该漏洞源于使用硬编码JWT签名密钥且未限制可获取和保存的文件类型,可能导致远程代码执行。
介绍
# CVE-2025-8625 — PoC
## Обзор
В репозитории храняться исходные файлы для статьи в [Xakep.ru](Xakep.ru)
В репозитории содержатся демонстрационные материалы, предназначенные исключительно для исследований в области безопасности, обучения и тестирования **в изолированных лабораторных средах**. Репозиторий **не** предназначен для использования против чужих систем.
---
## Содержимое репозитория
- `docker-compose.yml` — конфигурация для поднятия локальной, **изолированной** инстанции WordPress для анализа и тестирования.
- `exploit/CVE-2025-8625.py` — пример кода эксплоита, используемый в статье для демонстрации концепций. **Не применять против систем, которыми вы не владеете и для которых у вас нет явного разрешения.**
- `exploit/shell.php` — пример веб-шела, включённый только для демонстрации поведения в контролируемой лабораторной среде.
---
## Важное — безопасность и этика
- В репозитории **могут присутствовать** материалы, демонстрирующие концепции эксплуатации. Они предоставляются **только** в образовательных и защитных целях.
- **НЕЛЬЗЯ** применять материалы из этого репозитория против систем, которыми вы не владеете, или без письменного разрешения владельца. Несанкционированный доступ — уголовно и/или административно наказуем.
- Тестирование выполняйте только в изолированной лаборатории (host-only / NAT / air-gapped), на тестовых виртуальных машинах или контейнерах с возможностью отката (snapshots). Не проводите эксплуатацию в продуктивных окружениях.
- Автор и редакция журнала **не несут ответственности** за неправомерное использование материалов. Вся ответственность лежит на скачавшем/исполнителе.
- Если вы обнаружили уязвимость в реальной системе, следуйте практикам ответственного раскрытия: ограничьте сбор доказательств до необходимого минимума, не выполняйте эксплуатацию в продуктиве, и свяжитесь с вендором или соответствующим CERT/CSIRT.
---
## Лицензия и юридические замечания
Репозиторий предоставлен "как есть" без каких-либо гарантий. Используя материалы, вы соглашаетесь, что несёте ответственность за соблюдение применимого законодательства. При сомнениях — получите юридическую консультацию.
---
# CVE-2025-8625 — PoC
## Overview
This repository contains the source files for an article published on [Xakep.ru](https://xakep.ru).
The repository holds demonstration materials intended **only** for security research, education, and testing **in isolated laboratory environments**. This repository is **not** intended for use against third-party systems.
---
## Repository contents
- `docker-compose.yml` — configuration to spin up a local, **isolated** WordPress instance for analysis and testing.
- `exploit/CVE-2025-8625.py` — example exploit script used in the article to demonstrate concepts. **Do not use against systems you do not own or do not have explicit authorization to test.**
- `exploit/shell.php` — example web shell included solely to demonstrate post-compromise behavior in a controlled lab environment.
---
## Important — safety & ethics
- The repository **may contain** materials that demonstrate exploitation concepts. They are provided **only** for educational and defensive purposes.
- **DO NOT** use materials from this repository against systems you do not own or without the owner’s written permission. Unauthorized access may constitute a criminal or administrative offense in some jurisdictions.
- Perform testing only in isolated lab environments (host-only / NAT / air-gapped), on disposable virtual machines or containers with snapshots so you can revert state. Do not run exploitation against production environments.
- The author and the magazine’s editorial staff **accept no responsibility** for improper or malicious use of these materials. All responsibility lies with the downloader/operator.
- If you discover this vulnerability in a real system, follow responsible disclosure practices: collect only minimal, non-sensitive evidence, avoid exploitation on production systems, and contact the vendor or the relevant CERT/CSIRT.
---
## License & legal notice
This repository is provided “as is” without any warranties. By using these materials you accept responsibility for complying with applicable law. If in doubt, seek legal advice.
---
文件快照
[4.0K] /data/pocs/c085b98d112de2b19df0c8358b664a9246dd00da
├── [ 591] docker-compose.yml
├── [4.0K] exploit
│ ├── [3.1K] CVE-2025-8625.py
│ ├── [ 30] requirements.txt
│ └── [ 39] shell.php
└── [5.8K] README.md
1 directory, 5 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。