CVE-2022-50945: WordPress 3dady插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2022-50945

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress 3dady real-time web stats plugin

漏洞概述

WordPress 3dady real-time web stats插件1.0版本存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件未对用户输入进行充分过滤，允许经过身份验证的攻击者（低权限）通过选项面板的输入字段注入恶意JavaScript载荷。一旦恶意代码被存储并在前端页面渲染，其他访问者在查看页面时将触发代码执行，从而窃取凭据或进行恶意操作。

技术细节

该漏洞位于WordPress 3dady real-time web stats插件的设置保存逻辑中。插件在处理来自选项面板的请求时，未对`dady_input_text`和`dady2_input_text`参数进行有效的安全转义或过滤。攻击者只需具备最低权限账户（如订阅者），即可访问插件后台面板。通过在上述字段中构造包含<script>标签或HTML事件处理器的Payload，攻击者可以将恶意载荷持久化存储到数据库中。随后，当任何用户（包括管理员）访问展示统计数据的页面时，后端会直接输出未经过滤的内容，导致浏览器解析并执行攻击者注入的JavaScript代码。这种存储型XSS攻击方式隐蔽性强，且利用了WordPress的权限模型进行横向提权。

攻击链分析

STEP 1

1. 信息收集与访问

攻击者发现目标站点使用了WordPress 3dady real-time web stats插件，并注册或获取一个低权限账户（如订阅者）。

STEP 2

2. 恶意载荷注入

攻击者登录后台，进入插件选项面板，在'dady_input_text'或'dady2_input_text'输入框中注入恶意JavaScript代码。

STEP 3

3. 载荷存储

攻击者保存插件设置，由于缺乏过滤，恶意代码被直接存储到网站的数据库中。

STEP 4

4. 触发漏洞

当管理员或其他用户访问包含该插件统计数据的页面时，存储的恶意代码被浏览器解析并执行，导致XSS攻击生效。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2022-50945
// Target: WordPress 3dady real-time web stats plugin 1.0
// Description: Inject malicious JS into plugin options.

// Step 1: Login to WordPress with a low-privilege account.
// Step 2: Navigate to the plugin settings page.
// Step 3: Insert the payload into the vulnerable field.

// Payload to inject into 'dady_input_text' or 'dady2_input_text':
const payload = '<script>alert(document.cookie);</script>';

// Alternative payload using image tag:
// const payload = '<img src=x onerror=alert(1)>';

// Step 4: Save the settings. The XSS is now stored.
// Step 5: Visit the frontend page displaying the stats to trigger execution.

影响范围

WordPress 3dady real-time web stats plugin 1.0

防御指南

临时缓解措施

建议立即卸载或禁用WordPress 3dady real-time web stats插件，直到厂商发布安全修复补丁。如需保留功能，应在Web应用防火墙（WAF）中配置规则，拦截针对特定参数的脚本注入尝试，并对所有用户输入实施严格的HTML实体编码。