CVE-2022-50960: WordPress插件反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2022-50960

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress International Sms For Contact Form 7 Integration

漏洞概述

WordPress International Sms For Contact Form 7 Integration插件v1.2版本存在反射型跨站脚本（XSS）漏洞。该漏洞出现在管理员设置界面的page参数中。攻击者可利用此漏洞，通过构造恶意链接诱导管理员访问，在class-sms-log-display.php文件的page参数中注入任意恶意脚本代码。一旦管理员点击，脚本将在其浏览器中执行，可能导致Cookie窃取或会话劫持。

技术细节

该漏洞源于插件后台文件`class-sms-log-display.php`对`page`参数缺乏有效的过滤和转义机制。当攻击者构造包含恶意JavaScript的URL（如`/wp-admin/admin.php?page=<script>alert(1)</script>`）并发送给管理员时，服务器端会直接将参数值反射回HTML页面。浏览器解析该响应时，会将未编码的脚本作为代码执行。由于攻击向量为网络（AV:N）且无需认证（PR:N），但需要用户交互（UI:R），攻击者通常结合社会工程学进行攻击，从而在管理员上下文中执行任意操作。

攻击链分析

STEP 1

1. 构造Payload

攻击者构造包含恶意JavaScript代码的URL，将代码注入到'page'参数中。

STEP 2

2. 社会工程学诱导

攻击者通过电子邮件或即时通讯工具，将恶意链接发送给目标网站的管理员，诱导其点击。

STEP 3

3. 发起请求

管理员点击链接，浏览器向WordPress服务器发送带有恶意参数的HTTP请求。

STEP 4

4. 服务器响应与注入

服务器接收请求，处理class-sms-log-display.php，将未经过滤的page参数值直接输出到HTML响应中。

STEP 5

5. 执行恶意代码

管理员浏览器解析HTML页面，执行注入的恶意脚本，可能导致Cookie泄露或恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2022-50960
// Usage: Send the crafted URL to an admin.
// The script executes when the admin views the page.
// Malicious URL example:
// http://example.com/wp-admin/admin.php?page=<script>alert(document.cookie)</script>

console.log('Testing CVE-2022-50960 PoC');

影响范围

International Sms For Contact Form 7 Integration 1.2

防御指南

临时缓解措施

在未升级插件之前，建议管理员不要点击来源不明的链接。同时，可以在Web应用防火墙（WAF）中添加规则，拦截包含常见XSS攻击特征（如<script>标签）的请求参数。