CVE-2025-62149 CVSS 5.9 中危

CVE-2025-62149 WordPress Add Custom Codes插件存储型XSS漏洞

披露日期: 2025-12-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-62149

漏洞类型

存储型XSS

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

WordPress Add Custom Codes插件（SaifuMak）

漏洞概述

CVE-2025-62149是WordPress平台Add Custom Codes插件中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由于插件在处理用户输入时未正确对特殊字符进行转义或过滤，导致攻击者可以在网站页面中注入恶意JavaScript代码。受影响的插件版本为4.80及以下。由于该漏洞为存储型，恶意代码会被永久保存在服务器端，所有访问包含该恶意内容的页面用户都会受到攻击。攻击者可利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。漏洞发现者为[email protected]，CVSS评分为5.9，属于中等严重程度。

技术细节

该漏洞属于CWE-79（跨站脚本）类型，具体为存储型XSS。在Add Custom Codes插件中，当管理员通过插件添加自定义代码时，用户的输入内容未经充分过滤直接存储到数据库。当其他用户访问包含该代码的页面时，恶意脚本会被浏览器执行。攻击条件包括：1）攻击者需具有高权限（PR:H）才能添加自定义代码；2）需要用户交互（UI:R）触发；3）攻击向量为网络层面（AV:N）。由于插件功能本身允许添加任意代码，这使得漏洞利用更加容易。攻击者可在<script>标签中注入恶意JavaScript代码，或使用事件处理器如<img src=x onerror=alert(document.cookie)>等方式触发XSS。

攻击链分析

STEP 1

Reconnaissance（侦察阶段）

攻击者识别目标网站使用的WordPress版本及Add Custom Codes插件版本（<=4.80）

STEP 2

Initial Access（初始访问）

攻击者获取WordPress管理员权限或有权限的账户登录后台

STEP 3

Payload Injection（有效载荷注入）

在Add Custom Codes插件的代码输入框中注入恶意XSS Payload，如<script>alert(document.cookie)</script>

STEP 4

Persistence（持久化）

恶意代码被存储到数据库中，每次页面加载时都会被调用

STEP 5

Execution（执行阶段）

当其他用户访问包含恶意代码的页面时，浏览器执行注入的JavaScript代码

STEP 6

Impact（影响）

攻击者窃取用户会话Cookie、劫持账户、进行钓鱼攻击或传播恶意软件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

Payload: <script>alert(document.cookie)</script>

利用步骤:
1. 登录WordPress后台，进入Add Custom Codes插件设置
2. 在自定义代码输入框中插入XSS Payload
3. 保存设置，恶意代码被存储到数据库
4. 当用户访问相关页面时，恶意脚本被执行
5. 攻击者可获取用户Cookie、会话信息等敏感数据

变体Payload:
<img src=x onerror=alert('XSS')>
<svg onload=alert(document.domain)>
javascript:eval(atob('YWxlcnQoJ1hTUycpOw=='))

影响范围

Add Custom Codes插件 <= 4.80

防御指南

临时缓解措施

临时缓解措施：1）如果暂时无法升级插件，可禁用Add Custom Codes插件或限制其使用；2）加强WordPress后台访问控制，使用强密码和双因素认证；3）实施严格的访问控制策略，确保只有受信任的管理员才能访问插件设置；4）部署Web应用防火墙（WAF）规则检测和阻止XSS攻击；5）监控网站日志关注异常的管理员行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表