کشف آسیب‌پذیری روز صفر Zero Day SSRF در هسته وردپرس توسط ابراهیم شفیعی

کشف آسیب‌پذیری Zero-Day SSRF در وردپرس 6.8.3 توسط ابراهیم شفیعی؛ افشای IP سرورهای پنهان‌شده پشت Cloudflare از طریق XML-RPC pingback.این آسیب‌پذیری در بخش....

انتشار: , زمان مطالعه: 5 دقیقه
آسیب‌پذیری روز صفر Zero‑Day SSRF در هسته وردپرس نسخه 6.8.3
دسته بندی: تیم ابدال تعداد بازدید: 239

لیست مطالب

افشای IP سرور پشت Cloudflare توسط ابراهیم شفیعی (EbraSha)

در 27 تیر 1404 ، پژوهشگر امنیتی ابراهیم شفیعی (EbraSha) موفق به کشف یک آسیب‌پذیری روز صفر (Zero‑Day) از نوع Server‑Side Request Forgery (SSRF) در هسته وردپرس (WordPress Core) شد. این حفره امنیتی منجر به افشای آدرس IP واقعی سرور می‌شود؛ حتی اگر سایت موردنظر در پشت سرویس‌های امنیتی و CDNهایی مانند Cloudflare پنهان شده باشد.

شرح فنی آسیب‌پذیری  SSRF در وردپرس نسخه 6.8.3

این آسیب‌پذیری در بخش XML‑RPC API وردپرس و به‌ویژه در متد pingback.ping وجود دارد.
در این بخش از هسته وردپرس، تابع pingback_ping() در فایل class-wp-xmlrpc-server.php آدرس‌هایی را که از سمت کاربر ارسال می‌شوند، بدون اعتبارسنجی کافی دریافت و مستقیماً از طریق تابع wp_safe_remote_get() به آن‌ها درخواست HTTP ارسال می‌کند.

به همین دلیل، یک مهاجم می‌تواند آدرس مقصد را طوری تنظیم کند که سرور وردپرس به یک listener تحت کنترل مهاجم درخواست ارسال کند. در نتیجه، آدرس IP واقعی سرور (Origin IP) در لاگ سمت مهاجم ثبت می‌شود — حتی اگر پشت CDN قرار داشته باشد.

کد آسیب‌پذیر
این بخش از کد، درخواست‌های HTTP را بدون اعتبارسنجی مناسب ارسال می‌کند:

$request = wp_safe_remote_get( $pagelinkedfrom, $http_api_args );
$remote_source = wp_remote_retrieve_body( $request );

محل آسیب‌پذیری در کد

فایل: wp-includes/class-wp-xmlrpc-server.php
خطوط: ۷۱۵۶ - ۶۹۱۳
تابع: pingback_ping()

روند کشف و گزارش

ابراهیم شفیعی در تاریخ ۱۸ ژوئیه ۲۰۲۵ (27 تیر 1404) این آسیب‌پذیری را در نسخه 6.8.2 وردپرس شناسایی و از طریق پلتفرم HackerOne به تیم امنیتی وردپرس گزارش داد.
با وجود ارائه ویدیو، PoC (Proof of Concept) و توضیحات کامل، تیم وردپرس پاسخی ارائه نداد.در تصویر زیر موضوع گزارش را مشاهده می کنید که تاریخ نیز در آن مشخص شده 

شرح فنی آسیب‌پذیری  SSRF در وردپرس نسخه 6.8.3

پس از گذشت بیش از ۱۰۰ روز و با انتشار نسخه 6.8.3، بررسی‌ها نشان داد که مشکل همچنان در نسخه جدید وجود دارد. به همین دلیل، پژوهشگر تصمیم گرفت برای آگاهی جامعه امنیتی و شفافیت بیشتر، این آسیب‌پذیری را به‌صورت عمومی منتشر کند و به سایر وندورها نیز اطلاع دهد.

🕒 جدول زمانی:

  • ۲۰۲۵/۰۷/۱۸: کشف آسیب‌پذیری در وردپرس نسخه 6.8.2 توسط ابراهیم شفیعی

  • ۲۰۲۵/۰۷/۱۸: گزارش مسئولانه آسیب‌پذیری به تیم امنیتی وردپرس از طریق HackerOne توسط ابراهیم شفیعی

  • ۲۰۲۵/۰۹/۳۰: کشف آسیب‌پذیری در نسخه 6.8.3 وردپرس توسط ابراهیم شفیعی

  • ۲۰۲۵/۱۱/۰۱: افشای عمومی توسط ابراهیم شفیعی پس از گذشت بیش از ۱۰۰ روز بدون دریافت پاسخ و گزارش به سازمان های مرجع در آمریکا

نتیجه تست PoC

در PoC طراحی‌شده توسط ابراهیم شفیعی، با استفاده از یک اسکریپت پایتون (ssrf_core_wp_6_8_3_poc.py) و یک سرور listener با IP 193.105.234.208، درخواست‌های ارسالی از وردپرس رهگیری شد. نتیجه نشان داد که سرور وردپرس، حتی در حالتی که از Cloudflare برای محافظت استفاده می‌کند، با اجرای متد pingback.ping، IP واقعی خود (65.109.195.47) را به سمت listener مهاجم ارسال می‌کند.
این یعنی Cloudflare در برابر این نوع SSRF نمی‌تواند IP واقعی سرور را مخفی نگه دارد.

نسخه‌های آسیب‌پذیر

طبق بررسی‌های انجام‌شده، نسخه‌های زیر از وردپرس تحت‌تأثیر این آسیب‌پذیری قرار دارند:

  • ✅ نسخه 6.8.2 — کشف و گزارش اولیه در تاریخ ۱۸ ژوئیه ۲۰۲۵

  • ✅ نسخه 6.8.3 — همچنان آسیب‌پذیر در زمان افشای عمومی

احتمال آسیب‌پذیری نسخه‌های پیشین نیز وجود دارد در صورتی که همان پیاده‌سازی متد pingback.ping در آن‌ها استفاده شده باشد.

فیلم و ابزار اثبات این حفره امنیتی

ابراهیم شفیعی برای اثبات این حفره، یک PoC کاربردی منتشر کرده که شامل:

  • اسکریپت پایتون برای اجرای SSRF و رهگیری پاسخ سرور

  • ویدیوی دموی رسمی که نشان می‌دهد وردپرس چگونه از طریق SSRF، IP واقعی خود را فاش می‌کند

کاربران می‌توانند اسکریپت PoC را از مخزن GitHub او به آدرس زیر دریافت کنند:
🔗 دانلود PoC Script

⚠️ توصیه می‌شود قبل از اجرای اسکریپت، حتماً ویدیوی PoC را مشاهده کنید تا از نحوه عملکرد آن آگاه شوید.
🎥 مشاهده ویدیوی PoC

تأثیر 

بر اساس تست عملی انجام‌شده، تنها نتیجه‌ی اثبات‌شده در این PoC، افشای آدرس IP واقعی سرور (Origin IP Disclosure) است.
هیچ‌گونه دسترسی به سرویس‌های داخلی یا حملات بعدی مورد آزمایش قرار نگرفته است.

روش مقابله  

برای آموزش روش های مقابله اینجا کلیک کنید .

اعتبار و منابع

 

آسیب‌پذیری Zero‑Day SSRF in WordPress Core 6.8.3 یکی از نمونه‌های نگران‌کننده از ضعف‌های امنیتی در ساختار XML‑RPC وردپرس است. این نقص، امکان شناسایی و هدف‌گیری مستقیم سرورهای واقعی را فراهم می‌کند؛ حتی در حالی که سایت‌ها در پشت لایه‌های امنیتی قدرتمندی مانند Cloudflare پنهان شده‌اند.

این کشف توسط ابراهیم شفیعی (EbraSha) صورت گرفته و به‌عنوان نمونه‌ای از اهمیت بررسی امنیتی در سیستم‌های متن‌باز و محبوبی چون وردپرس، یادآور ضرورت جدی‌تر گرفتن گزارش‌های امنیتی است.

دیدگاه های مربوط به این مقاله (برای ارسال دیدگاه در سایت حتما باید عضو باشید و پروفایل کاربری شما تکمیل شده باشد)