一、 漏洞 CVE-2025-10874 基础信息
漏洞信息
                                        # Orbit Fox 3.0.2 之前 服务器请求伪造漏洞

## 概述

Orbit Fox 插件中的“股票图片导入”功能在 3.0.2 之前版本中未对用户可指定的 URL 进行限制,导致存在服务器端请求伪造(SSRF)漏洞。

## 影响版本

适用于 WordPress 的 Orbit Fox 插件,版本早于 3.0.2。

## 细节

插件允许用户通过“股票图片导入”功能指定任意 URL 进行图片导入,由于未对这些 URL 进行限制或验证,攻击者可借此诱使服务器访问攻击者指定的任意地址。

## 影响

攻击者可利用该漏洞发起 SSRF 攻击,迫使服务器访问内网资源或外部恶意 URL,可能导致信息泄露、内部服务访问或进一步攻击。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Orbit Fox < 3.0.2 - Author+ Server-Side Request Forgery
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More WordPress plugin before 3.0.2 does not limit URLs which may be used for the stock photo import feature, allowing the user to specify arbitrary URLs. This leads to a server-side request forgery as the user may force the server to access any URL of their choosing.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-10874 的公开POC
# POC 描述 源链接 神龙链接
1 Demonstrates SSRF with null byte injection bypass for CVE-2025-10874 https://github.com/ryanmroth/Orbit-Fox_SSRF_CVE-2025-10874 POC详情
三、漏洞 CVE-2025-10874 的情报信息
四、漏洞 CVE-2025-10874 的评论

暂无评论

发表评论