CVE-2022-50949 WordPress插件Videos sync PDF存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2022-50949

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Plugin Videos sync PDF

漏洞概述

WordPress插件Videos sync PDF 1.7.4版本存在存储型跨站脚本（XSS）漏洞。由于插件对mov、pdf、mp4等参数缺乏充分的过滤清洗，经过身份验证的攻击者可在插件选项面板中注入恶意脚本载荷（如autofocus onfocus事件）。当管理员查看或编辑相关视频设置时，这些恶意脚本将被触发并执行，导致攻击者可窃取管理员凭证或执行任意操作。

技术细节

该漏洞的核心成因在于WordPress插件“Videos sync PDF”在1.7.4及之前版本中，未对其管理后台选项面板中的多媒体文件参数（包括mov、pdf、mp4、webm、ogg）实施有效的输入验证和输出编码。这允许经过身份验证的攻击者（权限要求为低）利用这些未经过滤的输入点，将恶意的HTML标签及JavaScript代码注入到数据库中。具体利用方式为构造包含事件处理器的载荷，例如在字段值中插入`" autofocus onfocus="alert(1)`。当拥有高权限的管理员用户随后浏览该插件的视频设置页面或编辑相关配置时，服务器会将存储的恶意数据渲染到网页中。浏览器解析该HTML时，由于满足触发条件（如自动聚焦），即会执行攻击者预设的JavaScript脚本。这种存储型XSS攻击不仅持久化，而且针对管理员，危害较大，可能导致会话劫持、恶意插件安装或网站被完全接管。

攻击链分析

STEP 1

侦察与访问

攻击者获取目标WordPress站点的低权限账户（如订阅者或编辑者），并登录后台。

STEP 2

载荷注入

攻击者访问Videos sync PDF插件的设置页面，在mov、pdf、mp4等未过滤的参数字段中插入包含恶意事件处理器（如onfocus）的JavaScript代码。

STEP 3

持久化

插件将含有恶意代码的数据保存到数据库中，此时漏洞触发条件已具备，但尚未执行。

STEP 4

诱导触发

攻击者等待或诱导管理员访问受影响的插件管理页面（如视频设置列表）。

STEP 5

执行与利用

当管理员加载页面时，嵌入的恶意脚本在浏览器上下文中执行，攻击者可窃取Session ID或执行管理员权限下的操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2022-50949 Stored XSS -->
<!-- Inject the following payload into the 'mov', 'pdf', or 'mp4' parameter in the plugin options panel -->
" autofocus onfocus="alert(document.cookie)

<!-- Alternatively, a basic script tag might work if filtering is minimal -->
<script>alert('XSS')</script>

影响范围

Videos sync PDF <= 1.7.4

防御指南

临时缓解措施

若无法立即升级，建议暂时禁用Videos sync PDF插件以阻断攻击链。同时，应加强对WordPress后台管理员的账户安全意识教育，避免点击不明链接，并在不使用时及时退出登录。对于受影响页面，可通过WAF（Web应用防火墙）规则拦截包含常见XSS特征（如onfocus, onerror）的请求流量。