平台
wordpress
组件
broken-link-notifier
修复版本
1.3.1
CVE-2025-6851 是 Broken Link Notifier WordPress 插件中的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞允许未经身份验证的攻击者从 Web 应用程序发起 Web 请求到任意位置,从而可能查询和修改内部服务的敏感信息。此漏洞影响 Broken Link Notifier 插件的 0.0.0 到 1.3.0 版本。建议用户尽快升级到修复版本或采取缓解措施。
该 SSRF 漏洞允许攻击者利用 Broken Link Notifier 插件作为跳板,向内部网络发起请求,绕过防火墙和访问控制机制。攻击者可以利用该漏洞扫描内部服务,获取敏感信息,例如数据库凭据、API 密钥等。更严重的场景下,攻击者可能利用该漏洞修改内部服务配置,甚至执行恶意代码。由于 WordPress 插件通常具有较高的权限,该漏洞的潜在影响范围较大,可能导致整个 WordPress 网站的被攻破。
该漏洞已公开披露,存在潜在的被利用风险。目前尚未观察到大规模的利用活动,但由于 SSRF 漏洞的易用性,预计未来可能会有更多攻击者利用该漏洞。建议密切关注 CISA KEV 目录,以及 WordPress 安全社区的最新动态。
WordPress sites using the Broken Link Notifier plugin, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'ajax_blinks()' /var/www/html/wp-content/plugins/broken-link-notifier/• generic web:
curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=bln_ajax_blinks&url=http://169.254.169.254/ # Attempt to trigger SSRF to internal IPdisclosure
漏洞利用状态
EPSS
1.58% (81% 百分位)
CISA SSVC
CVSS 向量
针对 CVE-2025-6851,首要措施是立即升级 Broken Link Notifier 插件到修复版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 限制插件发起的外部请求,只允许访问白名单中的域名。此外,还可以通过配置 WordPress 服务器,限制插件对内部网络的访问权限。升级后,请验证插件功能是否正常,确认漏洞已成功修复。
将 Broken Link Notifier 插件更新到最新可用版本以缓解服务器端请求伪造漏洞。 此更新修复了 ajax_blinks() 函数,并防止未认证的攻击者从应用程序发起任意 Web 请求。 请参阅 WordPress.org 上的插件页面以获取更多信息并下载最新版本。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-6851 是 Broken Link Notifier WordPress 插件中的一个服务器端请求伪造 (SSRF) 漏洞,允许攻击者发起任意 Web 请求。
如果您的 Broken Link Notifier 插件版本低于或等于 1.3.0,则可能受到影响。请立即检查您的插件版本。
建议升级 Broken Link Notifier 插件到最新版本。如果无法升级,请考虑使用 WAF 或限制插件的访问权限。
虽然目前尚未观察到大规模利用,但由于 SSRF 漏洞的易用性,存在潜在的被利用风险。
请查阅 Broken Link Notifier 插件的官方网站或 WordPress 插件目录,以获取最新的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。