平台
wordpress
组件
webmention
修复版本
5.6.3
CVE-2026-0688是WordPress Webmention插件中的一个服务器端请求伪造(SSRF)漏洞。该漏洞位于'Tools::read'函数中。具有订阅者级别及以上访问权限的经过身份验证的攻击者可以利用此漏洞从Web应用程序向任意位置发出Web请求,并可用于查询和修改内部服务的信息。受影响的版本包括0–5.6.2。此问题已在5.7.0版本中修复。
WordPress的Webmention插件在所有版本中,包括5.6.2及以前的版本,通过'Tools::read'函数存在服务器端请求伪造(SSRF)漏洞。该漏洞允许具有订阅者级别或更高权限的经过身份验证的攻击者从Web应用程序发起对任意位置的Web请求。这可用于查询和修改内部服务的敏感信息,从而危及WordPress安装的安全性。CVSS评分是6.4,表明存在中等风险。升级到5.7.0版本对于缓解此漏洞至关重要。
在使用了易受攻击的Webmention插件的WordPress网站上,具有订阅者或更高权限的攻击者可以利用此漏洞。攻击者可以通过插件发送专门设计的Web请求,允许WordPress服务器代表攻击者向其他服务器发送请求。这可以实现对内部资源的访问、读取敏感数据,甚至在其他系统上执行命令。需要进行身份验证,但“订阅者”的相对较低的访问级别扩大了攻击面。
漏洞利用状态
EPSS
0.03% (8% 百分位)
CISA SSVC
最有效的缓解措施是立即将Webmention插件升级到5.7.0版本或更高版本。此版本包含SSRF漏洞的修复。如果无法立即升级,请考虑实施额外的安全措施,例如限制WordPress服务器的网络访问,并监控网络流量以检测可疑活动。此外,如果可能,请审查插件的配置以限制允许的Webmention源。
更新到 5.7.0 版本或更新的已修补版本
漏洞分析和关键警报直接发送到您的邮箱。
SSRF(服务器端请求伪造)是一种漏洞,允许攻击者操纵服务器向攻击者无法直接访问的资源发送请求。
如果您使用的是5.7.0之前的Webmention版本,则您的网站容易受到攻击。请在WordPress管理面板中检查插件版本。
实施额外的安全措施,例如限制网络访问并监控流量。考虑限制允许的Webmention源。
有漏洞扫描器可以检测SSRF。您也可以进行手动测试,但这需要技术专业知识。
升级到5.7.0版本或更高版本可以修复已知的SSRF漏洞。但是,始终建议保持所有插件和WordPress核心更新,以防止其他潜在的漏洞。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。