CVE-2025-10737CVE-2025-10737是WordPress开源Genesis Framework主题中的一个存储型跨站脚本漏洞。该漏洞存在于主题的短代码(Shortcodes)功能中,影响版本至3.6.0。由于主题在处理用户提供的属性时缺乏充分的输入 sanitization(输入净化)和输出转义(output escaping),导致恶意脚本可以被注入到页面中。攻击者利用此漏洞需要具有WordPress网站的贡献者级别(Contributor)或更高权限。注入的恶意JavaScript代码会在用户访问包含恶意代码的页面时自动执行,可能导致会话劫持、敏感信息窃取、管理后台权限滥用等严重安全问题。由于是存储型XSS,恶意代码会永久保存在服务器端,所有访问受影响页面的用户都会受到攻击影响。该漏洞的CVSS评分为6.4,属于中等严重程度,但考虑到其存储型特性和低权限利用要求,实际威胁不容忽视。
漏洞根源在于Genesis Framework主题的短代码处理逻辑中,对用户输入的属性的过滤和转义不完整。攻击者可以通过在短代码属性中插入恶意JavaScript代码,如<script>标签或事件处理属性(如onerror、onload等),这些代码会被直接存储到数据库中。当其他用户访问包含该短代码的页面时,未经转义的恶意代码会被浏览器执行。具体利用方式为:具有贡献者权限的认证用户创建或编辑文章/页面,在短代码中插入恶意属性值,例如[genesis_shortcode key="<script>alert(document.cookie)</script>"]。由于主题未对key属性值进行HTML实体转义,该脚本会被原样保存并在页面渲染时执行。攻击者可以利用此漏洞窃取用户会话cookie、进行钓鱼攻击或进一步提权。CVSS向量显示攻击复杂度低(AC:L)、权限需求低(PR:L)、无需用户交互(UI:N),但影响范围为已更改范围(S:C),表明攻击可影响多个用户。