CVE-2025-13747 WordPress NewStatPress插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13747

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress NewStatPress插件

漏洞概述

CVE-2025-13747是WordPress NewStatPress插件中的一个存储型跨站脚本(XSS)漏洞。该插件是一款用于WordPress的统计数据分析插件，在1.4.3及之前的所有版本中存在安全漏洞。漏洞源于nsp_shortcode函数中的正则表达式绕过，攻击者可以通过精心构造的输入绕过现有的安全过滤机制。由于该插件对用户提供的属性值缺乏足够的输入清理和输出转义，恶意脚本会被永久存储在数据库中。当其他用户访问包含恶意脚本的页面时，攻击代码将自动执行，可能导致会话劫持、敏感信息窃取、网页篡改等严重后果。任何具有贡献者(contributor)级别及以上权限的认证用户都可以利用此漏洞，对WordPress网站的安全性构成威胁。

技术细节

该漏洞的核心问题在于NewStatPress插件的nsp_shortcode函数中对用户输入参数的处理存在缺陷。攻击者利用正则表达式的绕过技术，将恶意JavaScript代码嵌入到shortcode属性中。例如，通过在属性值中插入特定字符序列，可以绕过插件的XSS过滤规则。插件在处理这些属性时，没有对特殊字符进行充分的HTML实体转义，导致JavaScript代码被浏览器直接解析执行。由于存储型XSS的特性，恶意脚本会永久保存在WordPress的数据库中，所有访问相关页面的用户都会受到攻击影响。攻击者可以利用此漏洞窃取用户Cookie、劫持会话、执行任意前端操作或重定向用户到恶意网站。漏洞的利用门槛较低，只需要基本的WordPress账号（贡献者权限）即可实施攻击。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者确认目标网站使用WordPress且安装了NewStatPress插件，版本在1.4.3或更早版本

STEP 2

步骤2: 账户获取

攻击者获取目标WordPress站点的账户权限，需要至少具有贡献者(contributor)级别的访问权限

STEP 3

步骤3: 构造恶意payload

攻击者利用nsp_shortcode函数的正则表达式绕过缺陷，构造包含XSS恶意代码的shortcode属性值

STEP 4

步骤4: 注入存储

攻击者将恶意shortcode插入到WordPress页面或文章中，恶意脚本被永久存储到数据库

STEP 5

步骤5: 触发执行

当其他用户访问包含恶意shortcode的页面时，浏览器解析并执行注入的JavaScript代码

STEP 6

步骤6: 攻击成功

攻击者成功窃取用户Cookie、会话令牌或其他敏感信息，或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress NewStatPress XSS PoC -->
<!-- Requires contributor-level access or higher -->

<!-- Basic XSS payload via shortcode attribute -->
[newstatpress xss='" onerror="alert(String.fromCharCode(88,83,83))" data-x="']

<!-- Alternative payload using event handler -->
[newstatpress someattr='<script>alert(document.cookie)</script>']

<!-- Bypass payload exploiting regex weakness -->
[newstatpress detail='test"/><script>alert("XSS")</script><x y="']

<!-- WordPress shortcode registration example -->
function newstatpress_xss_poc() {
    // Attacker with contributor access adds this shortcode to a post
    $malicious_shortcode = '[newstatpress stat="visitors" opt="' . 
        '" onmouseover="alert(document.domain)" x="']';
    
    // The malicious script is stored and executed when page is viewed
    return $malicious_shortcode;
}

影响范围

NewStatPress插件 <= 1.4.3 (所有版本)

防御指南

临时缓解措施

在官方安全补丁发布之前，可采取以下临时缓解措施：1) 限制NewStatPress插件的使用权限，仅允许管理员级别的用户访问；2) 临时禁用该插件或寻找功能替代方案；3) 在Web应用防火墙(WAF)中配置XSS过滤规则，拦截包含可疑script标签或事件处理器的请求；4) 对所有用户提交的内容实施严格的输入白名单验证；5) 加强WordPress站点的访问控制，确保只有可信用户才能创建或编辑内容。