Performance Monitor <= 1.0.6 - 'url' 参数的未认证服务器端请求伪造

该 SSRF 漏洞允许攻击者利用 Performance Monitor 插件作为跳板，发起对内部网络的请求。攻击者可以扫描内部服务，获取敏感信息，甚至利用 Gopher 协议等危险协议执行恶意代码。如果内部服务存在其他漏洞，攻击者可以通过 SSRF 漏洞进行链式攻击，进一步扩大攻击范围。例如，攻击者可以利用 SSRF 漏洞访问 Redis 服务器，并执行任意命令，从而完全控制受影响的 WordPress 站点。这种攻击模式与某些已知的 SSRF 漏洞利用场景类似，需要高度重视。

WordPress sites utilizing the Performance Monitor plugin, particularly those with internal services like Redis exposed or accessible from the web, are at significant risk. Shared hosting environments where plugin updates are managed by the hosting provider may be delayed in receiving the fix, increasing their exposure window.

• wordpress / composer / npm:

grep -r 'wp-json/performance-monitor/v1/curl_data' /var/www/html/

• generic web:

curl -I https://your-wordpress-site.com/wp-json/performance-monitor/v1/curl_data

• wordpress / composer / npm:

wp plugin list | grep 'Performance Monitor'

• wordpress / composer / npm:

wp plugin status | grep 'Performance Monitor'

1. 2026-03-20Disclosure

   disclosure

1. 已保留2026-01-29
2. 发布日期2026-03-20
3. 修改日期2026-04-09
4. EPSS 更新日期2026-03-28

为了缓解 CVE-2026-1648 漏洞，首要措施是立即升级 WordPress Performance Monitor 插件至修复版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制 Performance Monitor 插件的网络访问权限，只允许访问必要的外部资源。其次，配置 WordPress 防火墙 (WAF) 或代理服务器，阻止对 '/wp-json/performance-monitor/v1/curl_data' 端点的恶意请求。此外，可以审查 Performance Monitor 插件的配置，确保 'url' 参数的输入验证机制足够严格。升级后，请确认插件已成功更新，并测试其功能是否正常。