CVE-2025-13513 WordPress Clik stats插件反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13513

漏洞类型

反射型XSS (Cross-Site Scripting)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Clik stats plugin

漏洞概述

CVE-2025-13513是WordPress平台Clik stats插件中的一个反射型跨站脚本(XSS)漏洞。该插件版本从早期版本到0.8版本均受影响，漏洞根源在于ck_admin.php文件中对$_SERVER['PHP_SELF']参数缺乏有效的输入清理和输出转义。攻击者可以利用此漏洞通过构造恶意链接诱导用户点击，在受害者浏览器中执行任意JavaScript代码。由于该漏洞属于反射型XSS，攻击者需要通过社会工程学手段诱骗用户访问特制的恶意链接。成功利用此漏洞可导致会话劫持、敏感信息窃取、网页内容篡改等严重安全后果。漏洞由WordFence安全团队于2024年发现并报告，CVSS评分6.1，属于中等严重程度。

技术细节

该漏洞存在于Clik stats插件的ck_admin.php文件第47行附近。漏洞产生的根本原因是程序直接使用$_SERVER['PHP_SELF']变量而未进行充分的输入验证和HTML转义处理。在PHP中，$_SERVER['PHP_SELF']返回当前执行脚本的路径信息，攻击者可以通过在URL中插入斜杠后的路径附加恶意JavaScript代码。当用户访问攻击者构造的恶意链接时，反射的XSS payload会在页面中回显并在受害者浏览器中执行。攻击者通常利用此漏洞窃取用户的认证Cookie（如果HttpOnly标志未设置）、劫持用户会话、进行钓鱼攻击或植入恶意内容。漏洞利用无需认证权限，但需要诱导用户点击恶意链接，属于客户端攻击范畴。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站是否安装Clik stats插件且版本≤0.8

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的URL，利用$_SERVER['PHP_SELF']参数注入XSS payload

STEP 3

步骤3

攻击者通过钓鱼邮件、社交媒体或其他渠道诱导目标用户点击恶意链接

STEP 4

步骤4

用户浏览器请求恶意URL，服务器将未过滤的用户输入反射回页面

STEP 5

步骤5

用户浏览器执行注入的恶意JavaScript代码，导致Cookie窃取或会话劫持

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13513 PoC - Reflected XSS in WordPress Clik stats plugin -->
<!-- Target: WordPress site with Clik stats plugin <= 0.8 -->
<!-- Attack URL format: -->
https://target-site/wp-admin/admin.php/"><script>alert(document.cookie)</script>

<!-- More sophisticated payload for cookie stealing -->
<!-- https://target-site/wp-admin/admin.php/"onmouseover=alert(document.cookie)// -->

<!-- Example exploitation scenario -->
<!-- 1. Attacker crafts malicious link -->
<!-- 2. Lures victim to click the link (via email, social media, etc.) -->
<!-- 3. Victim's browser executes injected JavaScript -->
<!-- 4. Attacker steals session cookies or performs actions on behalf of victim -->

<!-- Suggested vulnerable code pattern (ck_admin.php around line 47): -->
<!-- $current_page = $_SERVER['PHP_SELF']; // Vulnerable - no sanitization -->
<!-- echo '<form action="' . $current_page . '" method="post">'; // Reflected -->

<!-- Fixed code should use: -->
<!-- $current_page = esc_url($_SERVER['PHP_SELF']); // Sanitized -->
<!-- echo '<form action="' . esc_attr($current_page) . '" method="post">'; // Escaped -->

影响范围

Clik stats plugin <= 0.8 (所有版本)

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)中配置规则，拦截包含<script>标签或JavaScript事件处理器的请求；2) 使用.htaccess或Nginx配置对admin.php路径实施额外的输入验证；3) 暂时禁用Clik stats插件直到官方修复版本发布；4) 加强对管理员账户的监控，警惕异常管理操作。长期来看，应持续关注插件更新并及时应用安全补丁。