文章总结： CVE-2025-12067是WordPress插件AdvancedCustomFieldsTableField的存储型XSS漏洞。因输入校验与输出转义缺失，作者及以上权限用户可注入恶意脚本导致会话劫持或权限提升。文章详细讲解了复现环境搭建、POC构造及利用过程，建议升级插件至1.3.31及以上版本进行修复。 综合评分： 85 文章分类： 漏洞POC,WEB安全,漏洞分析,渗透测试

WordPress后台存储型XSS 全网首发POC及复现环境（CVE-2025-12067）

原创

a1batr0ss a1batr0ss

天翁安全

2026年1月29日 17:01 江苏

免责声明：本公众号所发布的全部内容，包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境，均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时，应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权，严禁将公众号内的任何内容用于未经授权的渗透测试、漏洞利用或攻击行为。 所有人仅可在自己合法拥有或管理的系统环境中进行本地漏洞复现与安全测试，或用于具有明确授权的合法渗透测试项目。所有人不得以任何形式利用公众号内提供的内容从事非法、侵权或其他不当活动。 如因违反上述规定或不当使用本公众号提供的任何内容，造成的一切法律责任、经济损失、纠纷及其他任何形式的不利后果，均由相关成员自行承担，与本公众号无任何关联。

不错过最新的漏洞POC

为保证您可以在第一时间接收到本公众号分享的漏洞复现及POC信息，建议您在公众号“天翁安全”主页界面将“天翁安全”设为星标。

专题介绍

本文为【WordPress专题】的衍生文章，不直接合并入【WordPress专题】，但可配合专题进行学习研究。

【WordPress专题】详细介绍对WordPress框架中公开Or未公开漏洞的漏洞挖掘、代码审计分析及POC构造。以小见大，通过个性的漏洞总结WordPress中漏洞的共性，实现对WordPress漏洞的全面掌握。

感兴趣的师傅们可以查看前八篇文章进行共同学习

• 【WordPress专题01】前台管理员账户创建漏洞（CVE-2025-4334）漏洞分析及POC
• 【WordPress专题02】CVE-2025-2563漏洞分析及POC
• 【WordPress专题03】遇到不按规范编写的插件如何进行代码审计？
• 【WordPress专题04】通过漏洞介绍构造CVE-2025-11457的POC
• 【WordPress专题05】CVE-2025-11499前台文件上传漏洞 全网首发POC及漏洞分析
• 【WordPress专题06】CVE-2025-13342 选项修改导致的管理员用户注册漏洞POC及漏洞分析
• 【WordPress专题07】一文搞懂 如何对WordPress进行漏洞探测
• 【WordPress专题08】全网首发POC及漏洞分析 CVE-2025-15403权限提升漏洞

漏洞介绍

CVE-2025-12067 是一个影响 WordPress 的安全漏洞，存在于 ACF 和 SCF 插件的 Table Field Add-on 中，该漏洞属于存储型跨站脚本（XSS）。由于插件在表格单元格内容的输入校验和输出转义方面处理不当，导致在 1.3.30 及以下版本中，具有作者及以上权限的已认证用户可以注入任意恶意脚本，这些脚本会在其他用户访问被影响页面时执行，从而可能造成会话劫持、权限提升或敏感信息泄露等安全风险。

漏洞影响版本

| 产品版本 | 版本 | | — | — | | advanced-custom-fields-table-field | <= 1.3.30 |

环境部署

该漏洞所涉及的插件是“Table Field Add-on for ACF and SCF”，这个插件相当于是ACF的一个扩展，但活跃安装数也有5万+。

其实我觉得这个漏洞最难的点在于搭建能够利用的环境，第一次接触ACF这个插件花了不少时间去熟悉。正好趁着这个机会详细介绍一下“Advanced Custom Fields”（简称ACF）这个插件（2百万+的活跃安装）。

Advanced Custom Fields（简称 ACF）是 WordPress 中非常流行的一款自定义字段管理插件，它通过直观的界面让开发者和内容编辑人员可以轻松为文章、页面或自定义内容类型添加结构化的额外字段，如文本、图片、选择器、关系数据等，从而摆脱仅依赖默认编辑器的限制。ACF 能将复杂的数据输入过程简化为可视化配置，并通过简洁的 API 在主题或插件中灵活调用这些字段数据，大幅提升内容建模能力、开发效率和网站的可维护性，因而被广泛应用于企业官网、内容型站点和高度定制化的 WordPress 项目中。

从这段介绍来看，这个插件最大的功能在于添加结构化的额外字段。话不多说，我们用一个简单的事例来开始对这个插件的学习。

首先记得激活这两个插件

我们在ACF中添加一个新的字段组。

我们将字段组的名称设置为“身份信息”，第一个字段标签设置为“姓名”，字段名称为“name”（这个是一会代码引用用到的参数，设置为英文），字段类型为文本。设置完成后点击右上角的“保存设置”。

第二个字段字段标签设置为“其他资料”，字段名称为“info”，字段类型为Table。设置完成后点击右上角的“保存设置”。（这个是等会漏洞利用会用到的参数）

最下面还要设置一下规则组，也就是哪些内容会应用你设置的这些字段。这里“文章类型”等于“文章”，代表所有文章都会应用。

此时如果我们新建一篇文章，文章底部会有我们刚才添加的字段组

但就算此时我们在字段组中填上具体的值并将文章发布，我们的文章页面中也不会显示相关的内容。

此时我们需要到“主题文件编辑器”中编辑 single.php

在 WordPress 中，主题编辑器里的 single.php 是用于控制单篇文章（单条内容）详情页显示方式的模板文件，当用户点击一篇文章进入正文页时，WordPress 会优先使用 single.php 来渲染该页面的结构和内容。

我们在合适的位置添加如下代码（其中 name和 info是刚才创建两个参数的名称）

此时我们再去访问 http://127.0.0.1/acf/发现已经能看到我们设置的姓名信息和其他资料表格了。

至此，我们已经大致学会了ACF插件的使用流程（搭配Elementor的付费版应该会更简单点，有钱的佬可以尝试），同时漏洞环境也搭建完毕。

漏洞复现

我们选择一位Author及以上权限的用户，这里选择zuozhe

登录后我们新建一篇文章

在“其他资料”表格中任意一栏中输入XSS的Payload，输入完成后点击发布。

此时任意身份的用户访问 http://127.0.0.1/cve-2025-12067-xss测试/界面的用户都会触发这个存储型XSS

漏洞修复

插件官方已发布补丁，将advanced-custom-fields-table-field插件升级到1.3.31及以上版本即可

知识星球

“CVE-2025-12067复现POC、CVE-2025-12067 详细漏洞复现、CVE-2025-12067复现环境“现已全部发布至知识星球，大家可在知识星球内获取，自行搭建环境、学习复现、代码审计。

星球加入方式见文章底部二维码，欢迎加入交流和学习

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天翁安全 a1batr0ss a1batr0ss《WordPress后台存储型XSS 全网首发POC及复现环境（CVE-2025-12067）》