CVE-2025-11502CVE-2025-11502是WordPress插件Schema & Structured Data for WP & AMP中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的'saswp_tiny_multiple_faq'短代码功能中,由于对用户提供的属性值缺乏充分的输入清理和输出转义,导致恶意脚本可以被注入到页面中并永久存储。攻击者利用此漏洞需要具备WordPress contributor级别或更高的账户权限,成功利用后可在注入的页面中执行任意JavaScript代码。当其他用户访问包含恶意内容的页面时,注入的脚本会自动执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。此漏洞CVSS评分为6.4(中危),影响插件1.51及之前所有版本。
该漏洞的根本原因在于插件在处理短代码属性时未对用户输入进行适当的安全过滤。具体来说,'saswp_tiny_multiple_faq'短代码在注册和使用过程中,直接将用户提供的属性值渲染到HTML输出中,而没有进行必要的HTML实体编码或输入验证。攻击者可以通过在短代码属性中注入恶意JavaScript代码,如<script>alert('XSS')</script>或通过事件处理器如onmouseover、onclick等触发脚本执行。由于这些恶意内容被存储在数据库中(存储型XSS),每次页面加载时都会执行,形成持久性攻击。WordPress的contributor角色虽然无法直接发布文章,但可以创建和编辑草稿,攻击者可以利用这一权限在页面中嵌入恶意短代码,等待管理员审核发布后触发攻击。