紧急安全公告：添加用户元数据插件 (<= 1.0.1) — CSRF → 存储型 XSS (CVE-2025-7688)

日期： 2025年8月15日
作者： 香港安全专家

摘要

• 漏洞：跨站请求伪造 (CSRF) 使存储型跨站脚本 (XSS) 成为可能
• Affected software: Add User Meta WordPress plugin, versions ≤ 1.0.1
• CVE：CVE-2025-7688
• 所需权限：未认证（攻击者可能从网络进行利用）
• 公开修复：披露时没有可用的修复
• 建议：立即缓解 — 移除或禁用插件，通过您的 WAF 或服务器防火墙应用虚拟补丁，并遵循下面的事件响应检查表。.

本公告描述了技术细节、利用场景、检测和遏制过程、插件作者的代码级修复、您可以立即部署的虚拟补丁规则以及长期加固指导。.

发生了什么（简短）

添加用户元数据插件暴露了一个端点或操作，允许在没有适当 CSRF 保护和未验证或清理输入的情况下添加或更新用户元数据。没有有效的 nonce/CSRF 检查，用户提供的数据被存储并输出而没有安全转义。攻击者可以构造请求（或欺骗经过身份验证的用户提交请求），将基于脚本的有效负载持久化到用户元字段中。这些有效负载随后在页面或管理视图中呈现，其中元值被回显，导致存储型 XSS。.

由于该问题可以被未认证的攻击者利用，风险加大：持久化有效负载可能影响管理员和网站访问者。.

为什么这很严重

存储型 XSS 是像 WordPress 这样的平台上最危险的客户端漏洞之一：

• 持久执行：恶意 JavaScript 存储在服务器上，并在查看易受攻击的页面时执行。.
• 管理员妥协：如果管理员查看渲染不安全元数据的页面或个人资料，攻击者可以劫持会话或执行特权操作。.
• 声誉和 SEO 损害：注入的内容可能会传播垃圾邮件、广告或网络钓鱼，损害信任和搜索可见性。.
• 自动化利用：公开披露通常会触发自动扫描和大规模利用；请立即采取行动。.

此问题的估计 CVSS 类似评估约为 7.1（中/高）。鉴于未认证的持久写入能力，将其视为可采取行动的。.

技术分析

此漏洞类别中通常看到的根本原因：

1. 缺少 CSRF 保护（无 nonce / 无 check_admin_referer / wp_verify_nonce）。.
2. 允许未认证或授权不足的请求写入用户元数据。.
3. 缺乏输入验证（接受任意 HTML 或脚本负载）。.
4. 不安全的输出（未使用 esc_html()、esc_attr() 或 wp_kses() 回显元值）。.

典型的易受攻击流程：

• 插件注册一个端点（AJAX、REST 或表单处理程序），接受 user_id、meta_key、meta_value。.
• 该端点直接使用 add_user_meta() / update_user_meta() 写入 wp_usermeta，而不验证来源或清理 meta_value。.
• Later, the plugin or other code outputs that meta value in HTML without escaping, allowing
  查看我的订单

  0

  小计

  税费和运费在结账时计算

  结账