Goby 漏洞发布|ordPress User Verification 插件 user_verification_send_otp 页面认证绕过漏洞(CVE-2022-4693)

于 2023-06-21 17:48:29 发布
阅读量156 收藏
点赞数
分类专栏: 漏洞 Goby 红队版 文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/131332229
版权
Goby 同时被 3 个专栏收录
182 篇文章 27 订阅
订阅专栏
漏洞
130 篇文章 2 订阅
订阅专栏
红队版
111 篇文章 2 订阅
订阅专栏

漏洞名称:ordPress User Verification 插件 user_verification_send_otp 页面认证绕过漏洞(CVE-2022-4693)

English Name:WordPress plugins User Verification Authentication Bypass Vulnerability (CVE-2022-4693)

CVSS core: 7.5

影响资产数:707

漏洞描述:

WordPress plugins User Verification 是一款用于保护您的网站免受垃圾邮件用户的侵害,并通过使用垃圾邮件电子邮件地址阻止即时访问的插件。WordPress plugins User Verification 1.0.94 版本之前存在授权问题漏洞,该漏洞源于登陆验证可以被绕过。

漏洞影响:

WordPress plugins User Verification 1.0.94 版本之前存在授权问题漏洞,该漏洞源于登陆验证可以被绕过。

FOFA查询语句(点击直接查看结果):

body=“wp-content/plugins/user-verification”

此漏洞已可在Goby漏扫/红队版进行扫描验证

在这里插入图片描述

下载Goby:Goby社区版下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OTP概念及实现原理简析
安当加密
11-10 1万+
越来越多的信息系统基于安全的考虑加入了多因素认证的功能,实现多因素认证有多种方案,OTP就是其中一种实现相对简单便捷的方案。本文概要介绍了OTP的概念、原理和实现步骤。 一、什么是OTP OTP:One Time Password,又称一次性口令、一次性密码、动态密码、单次有效密码。 OTP基于专门的算法每隔一定的时间间隔生成一个不可预测的随机数字组合。 OTP的密码有效期仅在一次会话或者交易过程中,因此不容易受到重放攻击。 OTP一般分为计次使用和计时使用两种,计次使用的OTP产出后,可在不..
wordpress 数据库_意外的WordPress数据库表错误[WordPress修复]
cune1359的博客
07-07 850
两天前,在hongkiat.com的WordPress中,一个特定的表格被损坏了。 WordPress数据库的“ wp_comments ”表刚刚崩溃,没有迹象,警告或错误消息。 那我怎么知道的呢? 以下是症状: 如果您尝试备份数据库,则会出现此错误消息-wp_comments标记为已崩溃,使用LOCK TABLES时应修复 最近评论小部件显示为空白。 顶部评论者窗口小部件显示为...
OTP supervisor的monitor_child是否有漏洞
taotaotheripper的专栏
05-07 927
问题描述 OTP的supervisor中为了防止淘气的Child从link的另一端断掉link,supervisor会在shutdown child之前unlink(Child)并切换为monitor状态,这样supervisor对Child的监控将无法被Chlid终止。这段代码是由monitor_child/1实现的,其具体实现代码如下: 872 %% Help function to
WuThreat身份安全云-TVD每日漏洞情报-2023-02-02
wuthreat无胁科技的博客
02-02 220
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-41505,CNNVD-202301-1730。漏洞编号:CVE-2022-31711,CNNVD-202301-2071。漏洞编号:CVE-2022-4693,CNNVD-202301-1699。相关涉及:HP BIOS。
strongloop mysql_node.js - Strongloop mysql connector ER_NO_DB_ERROR: No database selected
weixin_42298128的博客
02-04 376
I made a website with nodejs and strongloop. I used the mysql connector and tested the connection in Strongloop Arc. The connection is OK. I created the models with the arc tool (discover models). It ...
WordPress插件阻止垃圾邮件发送者2021.8-反映跨站点脚本(XSS)的“日志”
weixin_51387754的博客
05-20 339
fofa搜索:"WordPress"
WordPress插件Social Warfare<=3.5.2 无需登录RCE漏洞
weixin_30672019的博客
04-30 608
  该漏洞只存在于Social Warfare插进的3.5.0、3.5.1和3.5.2版本中,其他版本不存在。   2019年3月21日插件作者紧急发布了3.5.3版本以修复高危的RCE漏洞,在<=3.5.2版本中存在一处无需登录即可getshell的RCE漏洞漏洞分析 在/wp-content/plugins/social-warfare/lib/utilities/SWP_...
WordPress Contact Form 7插件任意文件上传漏洞
weixin_30471561的博客
11-28 838
漏洞名称: WordPress Contact Form 7插件任意文件上传漏洞 CNNVD编号: CNNVD-201311-415 发布时间: 2013-11-28 更新时间: 2013-11-28 危害等级: 漏洞类型: 输入验证 威胁类型: 远程 CVE编号: ...
ssl不加载css wp_解决wordpress启用https后台打不开,css路径错误的问题
weixin_39861498的博客
01-17 476
在几经周折的情况下,全站最终还是启用了https,https是一种安全协议,为了更加保护用户隐私,https已经成为一种趋势,普通网站直接启用ca证书就可以,一般可以找一个单域名免费的。wordpress版本升级之后,uploads的路径无需修改,但是需要修改我们手动提交的一些图片网址数据,所以,在配置好服务器上的CA证书后,最关键的两步是先把自己的后台博客链接改成 https头的。比如我们原来设...
defwp:快速可靠的 wordpress 主题和插件开发环境
05-30
defwp利用docker , docker-compose , gulp , npm , ẁordpress & wp-cli 。 先决条件 docker , docker-compose和npm必须你去之前安装。 安装 克隆存储库: git clone https://github.com/mehlleniumfalke/
wordpress企业主题蓝色blue主题
12-21
wordpress企业主题蓝色blue主题
Changes NT Domain Passord. This program has two compenants..
02-23
Changes NT Domain Passord. This program has two compenants... a server and a a client. The Server must run on a Domain Controller.
wordpress:微笑的时光网址导航主题php版v1.0
07-25
ordpress:微笑的时光网址导航主题 特点:兼容IE、firerox、chrome等主流浏览器
wordpress最新官方简体中文版 v3.8.3
04-03
WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。WordPress虽为免费的开源软件,但其价值无法用金钱来衡量。 使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个性化的博客。针对...
还在手动收集资产?你比别人慢了一步
热门推荐
m0_46699477的博客
11-19 1万+
前言: 之前在进行 Web 打点的资产收集时,总是手动的收集父子公司、手动或半自动化收集根域、子域、C 段,当目标资产较多或多个目标时往往非常繁琐。 值得高兴的是,Goby 内测版发布了一个新功能,叫 ”IP 库“,可以自动化进行资产收集的各个环节,当然不仅限于上述几个方面,还包括 HTTS 证书、图标、关键字等资产收集方式,进一步详细查看官方发布的演示视频,发现其功能涵盖了目前资产收集常见的各个方面,集成了此功能后,前渗透 Web 攻击中的资产收集、指纹识别、漏洞检测、口令检测 Goby 都已涵盖,是一.
来了!Goby一年一度的红队专版正式发布!!
m0_46699477的博客
03-19 1万+
某大型活动临近,盆圈开始热闹起来,各种抢人大赛以及群集结号声!Goby今年有什么动作呢?→继续支持攻击队——红队,也称蓝军。 为何有且仅有红队专版? 如果对方是一位绝世武功高手且拥有绝世宝剑,你肯定没有信心与他一战,但如果给你配一把枪呢?哪怕是一把小米加步枪? 自Goby去年初打通渗透前中后流程并提出“实战”口号后,收到很多表哥/表姐的反馈,TOP10如下: 漏洞可以多一点吗?最好都是可以一键getshell的那种,且极少的漏报及误报 可以开放漏洞框架,让我们录漏洞吗? 新爆的漏洞可以更新快一点.
2023.3.17 | Goby红队版可利用漏洞更新
最新发布
m0_46699477的博客
03-17 8292
Nacos 身份认证绕过、泛微OA SQL注入、任意文件读取CVE-2023-26256、任意文件上传CVE-2022-39952、 天融信任意文件下载、命令执行漏洞、代码执行CVE-2022-27596、 路径穿越CVE-2022-48253、CVE-2023-25717、Aspera 远程代码执行CVE-2022-47986、SolarView Compact 、CVE-2023-23333、未授权访问、CVE-2022-31474、TurboMail文件读取、Apache默认密码....
插件分享 | Vulfocus 快速启动靶场环境一键打靶
m0_46699477的博客
12-01 6266
作为安全小白的插件作者,曾经最困惑的就是,拿着自带强大靶标漏洞库的 Goby 去扫描,却总是很难找到漏洞的影子,这让起步去学习安全知识这件事变得困难,后来了解到靶场工具,开始使用 Vulfocus,一个想法随之产生:将 Vulfocus 通过插件的方式集成到 Goby,更方便快捷的一键启动漏洞环境一键扫描漏洞。于是现在的这款插件应运而生~
Goby自定义漏洞之EXP
m0_46699477的博客
11-06 5746
前言:自定义漏洞配合EXP,提高漏洞的利用速度,简直是爽的飞起!自从HVV的时候Goby发布HVV专版,羡慕死了,就是太菜没傍上红方大佬的腿。虽然最终用上了HVV专版,但是一些只有你自己知道的漏洞,或者比较偏门的漏洞,就需要咱们自己来编写PoC或者是EXP。因为Goby没有开源,所以也能编写一些基于http命令执行的漏洞!特别感谢Goby的大佬——帅帅的涛哥支持 0x001 最终效果 直接获取明文密码,点击验证。 0x001 编写流程 我在《自定义PoC对接插件》一文中已经介绍过了如何编写自定义P..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值