CVE-2026-1648WordPress Performance Monitor插件在1.0.6及之前版本中存在严重的服务端请求伪造(SSRF)漏洞。该漏洞源于`/wp-json/performance-monitor/v1/curl_data` REST API端点对'url'参数缺乏充分验证。未经身份验证的攻击者可利用此漏洞通过Gopher等危险协议向任意位置发起Web请求,包括访问内部服务。在特定环境下,该漏洞可与Redis等服务链接,从而实现远程代码执行(RCE),对服务器安全构成严重威胁。
该漏洞的核心机制在于WordPress Performance Monitor插件对用户输入的`url`参数缺乏严格的协议和目标地址校验。在`class-rest-callback.php`中,代码直接将用户可控的URL传递给后端的cURL执行函数。由于cURL默认支持多种协议(包括Gopher、HTTP、FTP等),且未对`127.0.0.1`或内网IP段进行限制,攻击者可以利用这一缺陷进行内网端口扫描或服务攻击。利用方式上,攻击者构造Gopher协议的Payload,指向内部Redis服务的6379端口。通过发送精心构造的Redis协议命令(如`FLUSHALL`、`SET`、`CONFIG`等),攻击者可利用Redis的未授权访问漏洞,向Web目录写入Webshell或通过Cron任务反弹Shell。这种利用链将原本的SSRF漏洞升级为远程代码执行(RCE),无需任何用户交互或认证即可实施,危害极大。