LOWCVE-2026-0682CVSS 2.2

Church Admin <= 5.0.28 - 认证 (管理员+) 通过 'audio_url' 参数的盲目服务器端请求伪造 (Blind Server-Side Request Forgery)

Q: 什么是CVE-2026-0682 — SSRF漏洞在Church Admin WordPress插件中？

CVE-2026-0682描述了Church Admin WordPress插件中由于URL验证不充分而存在的服务器端请求伪造（SSRF）漏洞，攻击者可以利用此漏洞发起任意Web请求。

Q: 我是否受到CVE-2026-0682在Church Admin WordPress插件中的影响？

如果您正在使用Church Admin WordPress插件的版本低于5.0.29，则您可能受到此漏洞的影响。请立即升级到最新版本。

Q: 我如何修复CVE-2026-0682在Church Admin WordPress插件中？

升级Church Admin WordPress插件到5.0.29或更高版本以修复此漏洞。

Q: CVE-2026-0682是否正在被积极利用？

目前没有已知的公开利用程序，但由于SSRF漏洞的普遍性，建议尽快采取缓解措施。

Q: 在哪里可以找到Church Admin官方针对CVE-2026-0682的公告？

请访问Church Admin插件的官方网站或WordPress插件目录，以获取有关此漏洞的更多信息和官方公告。

平台

wordpress

组件

church-admin

修复版本

5.0.29

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-0682描述了Church Admin WordPress插件中的服务器端请求伪造（SSRF）漏洞。该漏洞允许经过身份验证的攻击者（具有管理员权限）发起来自Web应用程序的任意位置的Web请求，从而可能查询和修改内部服务信息。该漏洞影响Church Admin WordPress插件的0.0.0到5.0.28版本。已发布补丁版本5.0.29。

影响与攻击场景

攻击者可以利用此SSRF漏洞，通过Church Admin插件发起请求到内部网络中的其他服务，绕过防火墙和安全策略。攻击者可以利用此漏洞访问敏感数据，例如数据库凭据、API密钥或内部系统信息。此外，攻击者还可以利用此漏洞执行恶意操作，例如扫描内部网络、发起拒绝服务攻击或篡改数据。由于需要管理员权限，攻击者必须首先获得对WordPress站点的管理员访问权限。

利用背景

该漏洞已公开披露，并且存在潜在的利用风险。目前没有已知的公开利用程序，但由于SSRF漏洞的普遍性，建议尽快采取缓解措施。该漏洞已添加到CISA KEV目录中，表明其具有中等概率被利用。建议密切监控WordPress站点，以检测任何可疑活动。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.04% (13% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件church-admin

供应商wordfence

影响范围修复版本

0.0.0 – 5.0.285.0.29

弱点分类 (CWE)

CWE-918

时间线

已保留2026-01-07
发布日期2026-01-17
修改日期2026-04-08
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将Church Admin WordPress插件升级到5.0.29或更高版本。如果无法立即升级，可以考虑使用Web应用程序防火墙（WAF）来阻止恶意请求。配置WAF以阻止包含可疑URL的请求，例如指向内部网络的URL或URL包含特殊字符。此外，可以限制Church Admin插件的权限，以防止其访问敏感资源。在升级后，请验证插件是否正常工作，并检查是否有任何新的安全警报。

修复方法

更新到 5.0.29 版本，或更新的修复版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2026-0682 — SSRF漏洞在Church Admin WordPress插件中？