平台
wordpress
组件
allmart-core
修复版本
1.0.1
CVE-2025-49418 描述了 Allmart WordPress 主题中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过主题发起未经授权的请求,可能导致内部网络扫描和敏感资源访问。该漏洞影响 Allmart 主题的 0.0.0 及更早版本,已于 1.0.1 版本中修复。
SSRF 漏洞允许攻击者利用服务器作为代理,向内部网络或外部服务器发起请求。在 Allmart 主题中,攻击者可以利用此漏洞扫描内部网络,尝试访问数据库、管理界面或其他敏感资源。如果内部服务未正确配置或受到保护,攻击者可能能够窃取数据、修改配置或执行其他恶意操作。该漏洞的潜在影响包括信息泄露、权限提升以及对内部系统的进一步攻击。
该漏洞已于 2025-07-04 公开披露。目前尚无公开的利用程序 (PoC),但 SSRF 漏洞通常容易被利用。由于 Allmart 主题被广泛使用,该漏洞可能成为攻击者的目标。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Websites using the Allmart WordPress theme, particularly those with sensitive internal services or data accessible via HTTP/HTTPS, are at risk. Shared hosting environments where multiple websites share the same server infrastructure are also at increased risk, as a compromised Allmart installation on one site could potentially be used to attack other sites on the same server.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/themes/allmart-core/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/themes/allmart-core/ | grep -i 'server:'disclosure
漏洞利用状态
EPSS
0.05% (17% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-49418 的影响,建议立即升级 Allmart WordPress 主题至 1.0.1 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并限制主题可以访问的外部资源。此外,应审查 Allmart 主题的配置,确保其遵循安全最佳实践,例如禁用不必要的特性和限制文件上传。升级后,请验证主题是否正常工作,并检查日志中是否存在异常活动。
将 Allmart 插件更新到最新可用版本以缓解 SSRF 漏洞。在 WordPress 管理面板或 WordPress 官方插件仓库中检查插件更新。实施额外的安全措施,例如输入验证和对敏感资源访问的限制。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-49418 是 Allmart WordPress 主题中发现的服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过主题发起未经授权的请求。
如果您正在使用 Allmart WordPress 主题的 0.0.0 及更早版本,则可能受到此漏洞的影响。
请立即升级 Allmart WordPress 主题至 1.0.1 或更高版本。
目前尚无公开的利用程序,但由于 SSRF 漏洞通常容易被利用,因此存在被攻击的风险。
请访问 Allmart 主题的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。