事件经过
Instant Image Generator WordPress 插件(<=2.1.4)包含 SSRF 漏洞(CVSS 6.4)。
影响分析
影响范围狭窄,仅限于使用此特定 AI 图像生成插件的网站,但 SSRF 可用于探测内部网络或从托管服务器到达云元数据端点。
攻击途径
AI 图像生成插件中的服务器端请求伪造允许攻击者使服务器向任意/内部目的地发出请求。
受影响系统
bdthemes Instant Image Generator(ai-image),至 2.1.4
缓解措施
根据 Patchstack 公告更新到 2.1.4 之后的版本。