CVE-2025-11928 CVSS 4.4 中危

WordPress CSS & JavaScript Toolbox插件存储型XSS漏洞 (CVE-2025-11928)

披露日期: 2025-11-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-11928

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

CSS & JavaScript Toolbox plugin for WordPress

漏洞概述

WordPress的CSS & JavaScript Toolbox插件在12.0.5及之前版本存在存储型跨站脚本(XSS)漏洞，源于管理设置中输入验证和输出编码不足。攻击者通过注入恶意脚本，在用户访问相关页面时自动执行，可能导致会话劫持、敏感信息窃取或恶意操作传播。

技术细节

漏洞源于插件在处理用户输入时缺乏适当的HTML转义。攻击者需具备管理员权限，在插件设置中注入包含JavaScript代码的内容。由于输入未经过滤直接存储，后续页面访问时恶意脚本会被执行。

攻击链分析

STEP 1

信息收集

识别目标站点使用的WordPress版本和CSS & JavaScript Toolbox插件版本

STEP 2

权限获取

获取管理员级别权限（通过社会工程、凭证破解或其他方式）

STEP 3

漏洞利用

在插件管理界面注入恶意脚本

STEP 4

脚本执行

当其他用户访问受感染页面时，恶意脚本自动执行

STEP 5

数据窃取

通过脚本窃取用户会话cookie或其他敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /wp-admin/admin.php?page=cjt-formatting HTTP/1.1
[恶意脚本内容]

影响范围

CSS & JavaScript Toolbox plugin for WordPress <= 12.0.5

防御指南

临时缓解措施

临时禁用CSS & JavaScript Toolbox插件，直到官方发布安全更新

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表