CVE-2022-50970 WordPress Plugin AAWP 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2022-50970

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

WordPress Plugin AAWP

漏洞概述

WordPress插件AAWP 3.16版本中存在一个反射型跨站脚本（XSS）漏洞。该漏洞是由于插件在处理‘tab’参数时缺乏严格的输入验证导致的。经过身份验证的低权限攻击者可以通过构造包含恶意JavaScript代码的URL，诱骗管理员点击，从而在目标用户的浏览器上下文中执行任意脚本。攻击者利用此漏洞可窃取会话凭证、篡改页面内容或执行未授权操作。

技术细节

该漏洞位于AAWP插件的管理后台页面路径中。开发人员未对`tab`参数进行有效的过滤和输出编码，导致攻击者可以将恶意脚本注入到该参数中。当受害者访问构造好的恶意链接时，服务器会将带有恶意代码的参数值反射回HTML页面，浏览器解析并执行该脚本。攻击者需要具备低权限账户（PR:L）来发起攻击，并诱导管理员进行交互（UI:R）。由于漏洞具有Scope Changed（S:C）特性，攻击者可以利用管理员的权限进一步控制WordPress网站后台，造成敏感数据泄露或系统完整性破坏。

攻击链分析

STEP 1

侦察

攻击者识别目标网站是否安装了WordPress AAWP插件及其版本。

STEP 2

获取权限

攻击者在目标WordPress网站注册一个低权限账户（如订阅者）。

STEP 3

构造载荷

攻击者构建包含XSS Payload的特制URL，将恶意代码插入到`tab`参数中。

STEP 4

投递攻击

通过钓鱼邮件或社会工程学手段，诱导网站管理员点击该恶意链接。

STEP 5

执行利用

管理员访问链接后，脚本在管理员浏览器上下文中执行，窃取Cookie或执行后台操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2022-50970 -->
<!-- Usage: Send this URL to an authenticated admin -->
<!-- URL: http://target/wp-admin/admin.php?page=aawp-settings&tab=<script>alert('XSS')</script> -->

<html>
  <body>
    <script>
      // Malicious payload demonstrating the vulnerability
      var vulnParam = encodeURIComponent("<script>alert(document.cookie);</script>");
      var targetUrl = "http://example.com/wp-admin/admin.php?page=aawp-settings&tab=" + vulnParam;
      
      // Simulating the click
      // window.location.href = targetUrl;
      console.log("Exploit URL: " + targetUrl);
    </script>
  </body>
</html>

影响范围

WordPress Plugin AAWP <= 3.16

防御指南

临时缓解措施

在未应用补丁前，建议暂时禁用AAWP插件。管理员应提高警惕，不要点击来源不明的链接，特别是包含`aawp-settings`字样的URL。同时，定期审查网站用户账户，移除可疑的低权限账户。