1 | 1 | | # wp_CVE-2020-35489_checker |
2 | | - | Verificador de Vulnerabilidade CVE-2020-35489 em Sites Wordpress |
| 2 | + | |
| 3 | + | ## CVE-2020-35489 - Introdução |
| 4 | + | |
| 5 | + | No plugin WordPress, chamado Contact Form 7, |
| 6 | + | Na versão 5.3.1 e mais antigas, descoberta se fez. |
| 7 | + | CVE-2020-35489, nome da vulnerabilidade, |
| 8 | + | Explorada pelos atacantes com habilidade. |
| 9 | + | |
| 10 | + | Permite o upload de arquivos, qualquer tipo, |
| 11 | + | Restrições violadas, sem um adeus no fim. |
| 12 | + | Tipos permitidos no site, não tem alívio, |
| 13 | + | Atacantes aproveitam, semeando o ruim. |
| 14 | + | |
| 15 | + | Um perigo eminente, ameaça a se ter, |
| 16 | + | Uploads maliciosos, sites WordPress vulneráveis. |
| 17 | + | Códigos malignos, segurança a sofrer. |
| 18 | + | |
| 19 | + | Atualizações, cuidado é o que demanda, |
| 20 | + | Proteja seu site, evite essa cilada. |
| 21 | + | No plugin Contact Form 7, segurança estável. |
| 22 | + | |
| 23 | + | ## Constatação / Vislumbranção |
| 24 | + | |
| 25 | + | Na ocasião, estima-se que aproximadamente 5 milhões de websites estavam afetados. Quantos ainda estão? rsrs |
| 26 | + | |
| 27 | + | ## Referências sobre a vulnerabilidade |
| 28 | + | |
| 29 | + | - Referência de Honra: [Check-WP-CVE-2020-35489](https://github.com/dn9uy3n/Check-WP-CVE-2020-35489) - Esse foi o programa no qual me baseei para criar o wp_CVE-2020-35489_checker. |
| 30 | + | - Referência técnica com exemplos de exploração: [CVE-2020-35489 - CWE-434](https://cwe.mitre.org/data/definitions/434.html) |
| 31 | + | |
| 32 | + | ## Dependências deste programa |
| 33 | + | |
| 34 | + | pip install argparse asyncio aiohttp packaging |
| 35 | + | |
| 36 | + | ## Ajuda para execução |
| 37 | + | |
| 38 | + | python cve_2020_35489_checker.py -h |
| 39 | + | usage: cve_2020_35489_checker.py [-h] [-d DOMAIN] [-i INPUT_FILE] [-o OUTPUT_FILE] |
| 40 | + | |
| 41 | + | Verifica se um site é vulnerável à CVE-2020-35489. |
| 42 | + | |
| 43 | + | options: |
| 44 | + | -h, --help show this help message and exit |
| 45 | + | -d DOMAIN, --domain DOMAIN |
| 46 | + | Verificar um único site (Exemplo: python cve_2020_35489_checker.py -d exemplo.com) |
| 47 | + | -i INPUT_FILE, --input-file INPUT_FILE |
| 48 | + | Verificar vários sites de um arquivo de texto (Exemplo: python cve_2020_35489_checker.py -i lista.txt -o vulneraveis.txt) |
| 49 | + | -o OUTPUT_FILE, --output-file OUTPUT_FILE |
| 50 | + | Arquivo de saída para a lista de sites vulneráveis |
| 51 | + | |
| 52 | + | ## Dependências |
| 53 | + | |
| 54 | + | pip install argparse asyncio aiohttp packaging |
| 55 | + | |
| 56 | + | ## Para brincar (ou pesquisas científicas)... Google Dork |
| 57 | + | |
| 58 | + | inurl:/wp-content/plugins/contact-form-7/ |
3 | 59 | | |