紧急安全公告：CVE-2025-9884 — 移动网站重定向 (≤ 1.2.1) — CSRF → 存储型 XSS

发布日期：2025年10月3日 · 香港安全专家公告

作为一个总部位于香港的安全团队，我们发布此公告以通知WordPress网站所有者和开发者有关最近披露的影响移动网站重定向插件（版本 ≤ 1.2.1）的漏洞，跟踪编号为CVE-2025-9884。该缺陷是一个跨站请求伪造（CSRF），可以与存储型跨站脚本（XSS）链式利用。简而言之：攻击者可以诱使特权用户的浏览器在网站设置中存储恶意JavaScript，这可能会在管理界面或公共网站上运行。.

TL;DR — 你现在需要知道的

• 移动网站重定向 ≤ 1.2.1 中的一个漏洞可以通过CSRF被滥用，以将存储型XSS有效载荷注入网站。.
• 公开披露：2025年10月3日（CVE-2025-9884）。.
• 攻击者通常需要欺骗一个经过身份验证的管理员（或其他特权用户）访问一个恶意页面；最终的有效载荷是持久性（存储型）XSS。.
• 潜在影响：会话盗窃、管理员接管、持久性后门、SEO垃圾邮件、恶意重定向或完全网站妥协。.
• 在披露时，受影响版本可能没有官方修复 — 在供应商补丁可用并经过验证之前，将安装视为有风险。.
• 立即保护措施：停用或删除插件，虚拟补丁（WAF或服务器级别阻止），搜索并清理存储的有效载荷，轮换凭据和盐值，并在必要时进行全面事件响应。.

漏洞如何工作（技术分析）

简而言之，该漏洞是缺少CSRF保护和对存储设置的输出清理不足的结合：

1. 该插件暴露了一个接受用户输入（重定向规则、自定义文本等）的管理员操作或设置端点。.
2. 该端点缺乏适当的CSRF保护（随机数检查）和/或足够的能力检查，允许来自攻击者控制页面的POST请求被经过身份验证的管理员的浏览器接受。.
3. 该插件将POST的值保存到数据库中，但没有进行充分的清理。如果这些值包含JavaScript（例如，,
   查看我的订单

   0

   小计

   税费和运费在结账时计算

   结账