CVE-2025-13393：marceljm Featured Image from URL (FIFU) 插件中的CWE-918服务器端请求伪造（SSRF）

严重性：中等 类型：漏洞 CVE：CVE-2025-13393

WordPress的“Featured Image from URL (FIFU)”插件在所有5.3.1及之前的版本中存在服务器端请求伪造（SSRF）漏洞。这是由于在将用户提供的URL传递给Elementor小部件集成中的getimagesize()函数之前，验证不足。这使得拥有“投稿者”及以上权限的认证攻击者，如果同时被授予使用Elementor的权限，可以通过FIFU Elementor小部件中的fifu_input_url参数，发起源自Web应用程序的任意位置的Web请求，并可用于查询和修改内部服务的信息。

技术总结

CVE-2025-13393是一个在WordPress的Featured Image from URL插件中发现的服务器端请求伪造漏洞，具体影响所有5.3.1及之前的版本。该漏洞源于插件Elementor小部件集成中，在将用户提供的URL传递给PHP的getimagesize()函数之前，验证不足。这种不恰当的验证允许拥有“投稿者”或更高权限并可使用Elementor的认证用户，通过fifu_input_url参数构造恶意请求。这些请求在服务器端执行，使攻击者能够从托管WordPress站点的Web服务器向任意内部或外部位置发起HTTP请求。可利用此SSRF探测内部网络服务，可能导致敏感信息泄露或对无法直接从互联网访问的内部基础设施发起进一步攻击。该漏洞除需要认证外，不需要用户交互，不直接影响数据完整性或可用性，但可能导致信息披露。CVSS v3.1评分为4.3（中等严重性），反映了利用的低复杂度（攻击复杂度低）、对低权限（投稿者级别）的要求以及有限的保密性影响。目前尚未有公开的利用报告，但由于此漏洞存在于一个与流行页面构建器Elementor集成的、广泛使用的WordPress插件中，引起了众多网站的担忧。在报告时缺乏补丁，需要立即采取缓解措施以减少暴露风险。

潜在影响

对于欧洲组织，此SSRF漏洞主要构成与保密性破坏相关的中等风险。拥有投稿者级别访问权限的攻击者可以利用该漏洞向内部服务发起源自服务器的请求，可能暴露原本外部无法访问的敏感内部端点、元数据服务或管理界面。这可能导致未经授权的信息披露、为后续攻击进行侦察，或间接危及内部系统。拥有多用户WordPress环境的组织，尤其是那些使用Elementor页面构建器和FIFU插件的组织，面临更高的风险。该漏洞不直接影响数据完整性或可用性，但如果内部服务安全性差，可能成为更严重攻击的垫脚石。鉴于WordPress在欧洲（包括政府、教育和私营部门）的广泛使用，如果被大规模利用，影响可能很显著。然而，对认证访问的要求将威胁限制在内部人员或被盗账户内。已知利用的缺失降低了即时风险，但不应该导致自满。

缓解建议

1. 立即将Elementor页面构建器和FIFU插件的访问权限限制在可信用户，尽量减少拥有“投稿者”或更高权限的用户数量。
2. 实施严格的用户角色管理，并审计所有拥有编辑权限的用户账户，确保没有未授权用户能够访问。
3. 监控Web服务器日志和内部网络流量，查找源自WordPress服务器的异常出站请求，特别是那些针对内部IP范围或敏感端点的请求。
4. 部署具有自定义规则的Web应用防火墙，以检测并阻止包含fifu_input_url参数或异常URL模式的可疑请求。
5. 如果FIFU插件非必需，请禁用它或将其移除，以减少攻击面。
6. 密切关注插件供应商的更新，并在补丁发布后立即应用。
7. 考虑通过网络分段和内部服务加固来限制SSRF的影响，即限制Web服务器可以访问哪些内部服务。
8. 教育站点管理员和投稿者有关SSRF的风险以及在插件中谨慎输入URL的重要性。

受影响的国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

来源： CVE Database V5 发布日期： 2026年1月10日 星期六

技术细节

• 数据版本： 5.2
• 分配者简称： Wordfence
• 预订日期： 2025-11-19T01:08:40.615Z
• Cvss版本： 3.1
• 状态： PUBLISHED

威胁ID： 69625bacf2400df44e52a8e4 添加到数据库： 2026年1月10日 下午2:01:16 最后丰富： 2026年1月10日 下午2:15:36 最后更新： 2026年1月12日 上午1:01:26 查看次数： 42