緊急安全公告：CVE-2025-9884 — 行動網站重定向 (≤ 1.2.1) — CSRF → 儲存的 XSS

發布日期：2025年10月3日 · 香港安全專家公告

作為一個位於香港的安全團隊，我們發布此公告以通知 WordPress 網站擁有者和開發者有關最近披露的漏洞，該漏洞影響行動網站重定向插件（版本 ≤ 1.2.1），追蹤編號為 CVE-2025-9884。該缺陷是一種跨站請求偽造（CSRF），可以鏈接到儲存的跨站腳本（XSS）。簡而言之：攻擊者可以誘使特權用戶的瀏覽器在網站設置中儲存惡意 JavaScript，這可能會在管理界面或公共網站上運行。.

TL;DR — 你現在需要知道的

• 行動網站重定向 ≤ 1.2.1 中的漏洞可以通過 CSRF 被濫用，以將儲存的 XSS 負載注入網站。.
• 公開披露：2025年10月3日（CVE-2025-9884）。.
• 攻擊者通常需要欺騙已驗證的管理員（或其他特權用戶）訪問惡意頁面；最終的負載是持久性（儲存的）XSS。.
• 潛在影響：會話盜竊、管理員接管、持久性後門、SEO 垃圾郵件、惡意重定向或整個網站的妥協。.
• 在披露時，受影響版本可能沒有官方修補程序 — 在供應商修補程序可用並經過驗證之前，將安裝視為有風險。.
• 立即保護措施：停用或移除插件，虛擬修補（WAF 或伺服器級別阻擋），搜索並清理儲存的負載，輪換憑證和鹽值，必要時執行全面事件響應。.

漏洞如何運作（技術分析）

簡而言之，該漏洞是缺少 CSRF 保護和對儲存設置的輸出清理不足的組合：

1. 該插件暴露了一個管理操作或設置端點，接受用戶輸入（重定向規則、自定義文本等）。.
2. 該端點缺乏適當的 CSRF 保護（隨機數檢查）和/或足夠的能力檢查，允許來自攻擊者控制的頁面的 POST 被已驗證的管理員的瀏覽器接受。.
3. 該插件將 POST 的值儲存到資料庫中，但未進行充分的清理。如果這些值包含 JavaScript（例如，,
   查看我的訂單

   0

   小計

   稅金和運費在結帳時計算

   結帳