平台
wordpress
组件
ninja-tables
修复版本
5.0.19
CVE-2025-2940是Ninja Tables – Easy Data Table Builder WordPress插件中的一个服务器端请求伪造(SSRF)漏洞。该漏洞允许未经身份验证的攻击者从Web应用程序发起Web请求到任意位置,从而可能查询和修改内部服务的敏感信息。此漏洞影响Ninja Tables插件的0.0.0至5.0.18版本,建议用户尽快升级至5.0.19版本以修复。
攻击者可以利用此SSRF漏洞向内部网络发起请求,绕过防火墙和安全策略,访问通常不可公开访问的资源。例如,攻击者可以扫描内部网络,发现未授权的服务器和应用程序,或者尝试访问数据库和API。攻击者还可以利用此漏洞读取内部文件的内容,或者修改内部服务的配置。由于Ninja Tables插件广泛应用于WordPress网站,因此该漏洞的潜在影响范围非常广泛,可能导致数据泄露、服务中断甚至系统控制。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到CISA KEV目录中。公开的POC可能存在,建议密切关注安全社区的动态。
WordPress websites utilizing the Ninja Tables plugin, particularly those hosting sensitive internal services or data, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised Ninja Tables instance could potentially be used to attack other sites on the same server.
• wordpress / plugin:
grep -r 'args[url]' /var/www/html/wp-content/plugins/ninja-tables/*• wordpress / plugin:
wp plugin list --status=all | grep 'ninja-tables'• wordpress / plugin:
wp plugin update ninja-tables --version=5.0.19• generic web:
curl -I 'http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=ninja_tables_load_table&args[url]=http://internal-service.local'disclosure
漏洞利用状态
EPSS
0.24% (47% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Ninja Tables插件升级至5.0.19版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,限制Ninja Tables插件的访问权限,只允许其访问必要的资源。其次,配置WordPress防火墙或Web应用程序防火墙(WAF),以阻止来自Ninja Tables插件的恶意请求。第三,监控Ninja Tables插件的日志,以检测可疑活动。如果怀疑已经受到攻击,应立即调查并采取相应的补救措施。
将 Ninja Tables 插件更新到 5.0.19 或更高版本以缓解服务器端请求伪造 (Server-Side Request Forgery) 漏洞。此更新修复了插件处理 Web 请求的方式,防止未认证的攻击者向任意位置发起请求。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-2940是Ninja Tables WordPress插件中的一个服务器端请求伪造(SSRF)漏洞,允许攻击者发起任意Web请求。
如果您正在使用Ninja Tables插件的0.0.0至5.0.18版本,则可能受到此漏洞的影响。
升级Ninja Tables插件至5.0.19版本或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,建议尽快采取缓解措施。
请访问Ninja Tables官方网站或WordPress插件目录,查找有关CVE-2025-2940的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。