CVE-2025-67989 CVSS 5.4 中危

CVE-2025-67989 WordPress Kerge主题服务端请求伪造漏洞

披露日期: 2025-12-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-67989

漏洞类型

服务端请求伪造（SSRF）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

LMPixels Kerge WordPress Theme <= 4.1.3

漏洞概述

CVE-2025-67989是WordPress Kerge主题中的一个服务端请求伪造（SSRF）漏洞，CVSS评分5.4，属于中危级别。该漏洞存在于Kerge主题的4.1.3及以下版本中，攻击者可以利用此漏洞诱导服务器向任意内部或外部资源发起请求，获取敏感信息或进行进一步攻击。

技术细节

该漏洞源于Kerge主题对用户输入验证不充分，攻击者可通过构造恶意请求参数，迫使服务器向指定URL发起请求。由于服务器位于内网，攻击者可利用SSRF访问内部服务、扫描内网端口或获取云元数据等敏感信息。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站上运行的Kerge主题版本

STEP 2

步骤2

构造包含恶意URL的请求参数

STEP 3

步骤3

服务器处理请求并向攻击者指定的URL发起请求

STEP 4

步骤4

攻击者获取返回的响应内容或利用SSRF进行内网探测

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

暂无公开PoC

影响范围

Kerge Theme <= 4.1.3

防御指南

临时缓解措施

立即升级Kerge主题到最新版本；如果无法立即升级，可通过WAF规则限制可疑的外部请求

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表