CVE-2025-15636 CVSS 6.5 中危

CVE-2025-15636: YouTube Showcase插件存储型XSS漏洞

披露日期: 2026-04-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-15636

漏洞类型

存储型跨站脚本

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

YouTube Showcase (WordPress Plugin)

漏洞概述

YouTube Showcase WordPress 插件存在存储型跨站脚本（XSS）漏洞（CVE-2025-15636）。由于插件在 Web 页面生成过程中未能正确中和用户输入，允许低权限攻击者注入恶意脚本。该脚本被存储在服务器上，当管理员或其他用户访问受影响页面时触发，可能导致会话劫持或敏感信息泄露。此漏洞影响 3.5.1 及以下版本。

技术细节

该漏洞属于存储型 XSS（Stored XSS），位于 emarket-design 开发的 YouTube Showcase 插件中。核心原因在于插件对特定输入参数（如视频展示相关字段）缺乏充分的过滤与转义。攻击者只需具备低权限账户（PR:L），即可在插件功能提交的数据中嵌入 JavaScript 负载。系统将这些恶意数据持久化存储在数据库中。当高权限用户（如管理员）浏览包含该数据的页面时，服务器会直接输出未经净化的内容，导致浏览器执行攻击者的脚本。由于利用了作用域变更（S:C），攻击者可借此提升权限，窃取管理凭证或执行未授权操作。

攻击链分析

STEP 1

1. 获取访问权限

攻击者在目标 WordPress 网站注册或利用现有的低权限账户（如订阅者）。

STEP 2

2. 注入恶意 Payload

攻击者访问 YouTube Showcase 插件的输入界面，在未经过滤的字段中插入包含 JavaScript 的恶意代码。

STEP 3

3. 恶意代码存储

后端服务器将包含恶意脚本的数据保存到数据库中，该操作没有进行适当的输入清理。

STEP 4

4. 触发漏洞

网站管理员或其他用户浏览包含被注入数据的页面（例如视频展示列表）。

STEP 5

5. 执行攻击

受害者的浏览器解析页面并执行恶意脚本，攻击者可借此窃取 Session Cookie 或执行管理员权限下的操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for Stored XSS in YouTube Showcase -->
<!-- Inject the following payload into a vulnerable input field (e.g., Video Title or Description) -->
<script>alert('CVE-2025-15636 - Stored XSS');</script>

<!-- Alternatively, using an image tag to bypass some filters -->
<img src=x onerror=alert(document.cookie)>

影响范围

YouTube Showcase <= 3.5.1

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用 YouTube Showcase 插件。或者部署 Web 应用防火墙（WAF）规则，以检测和拦截针对该插件参数的常见 XSS 攻击向量。同时，管理员应警惕任何不明来源的链接或异常的插件行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表