关联漏洞
标题:
WordPress plugin JNews 安全漏洞
(CVE-2024-8682)
描述:WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin JNews 11.6.6及之前版本存在安全漏洞,该漏洞源于未正确验证用户注册选项,可能导致未授权用户注册。
介绍
# CVE-2024-8682 - JNews Unauthenticated Registration PoC
**JNews** (<= 11.6.6) has a vulnerability that allows unauthenticated user registration via the `?ajax-request=jnews` endpoint, even when WordPress registration is disabled.
This works by first retrieving a valid `jnews_nonce` through the `jnews_refresh_nonce` action, then using it to register a new user via `register_handler`.
## Usage
```bash
python3 cve-2024-8682.py -u https://target.com -n newuser -e email@domain.com
```
### Arguments
- `-u`: Target WordPress URL
- `-n`: Username
- `-e`: Email
## References
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/jnews/jnews-wordpress-newspaper-magazine-blog-amp-theme-1166-unauthorized-user-registration
- https://nvd.nist.gov/vuln/detail/CVE-2024-8682
文件快照
[4.0K] /data/pocs/ffd9f2f6bdfb0fa20e0a3200be324f2c999a6e99
├── [1.1K] cve-2024-8682.py
└── [ 798] README.md
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。