CVE-2025-11770CVE-2025-11770是WordPress平台BrightTALK Shortcode插件中的一个高危安全漏洞。该插件用于在WordPress网站中嵌入BrightTALK视频内容,在2.4.0及之前所有版本中存在存储型跨站脚本(XSS)安全缺陷。漏洞根源在于插件对brighttalk-time短代码的'format'属性参数缺乏充分的输入清理和输出转义处理。攻击者利用此漏洞可通过在短代码属性中注入恶意JavaScript脚本,当其他用户访问包含该恶意代码的页面时,浏览器将执行注入的脚本内容。攻击者可借此窃取用户会话Cookie、劫持用户账户、执行钓鱼攻击或传播恶意软件。由于存储型XSS的持久性特点,恶意代码会被永久保存在服务器端,影响所有访问相关页面的用户。
漏洞存在于brighttalk-wp-shortcode插件的brighttalk-time短代码处理逻辑中。在插件源代码(约第130行)的短代码回调函数中,程序直接使用用户提供的'format'参数值而未进行适当的HTML实体转义或输入验证。攻击者只需拥有WordPress的贡献者(Contributor)或更高权限账户,即可在文章或页面中插入包含恶意脚本的短代码,如[brighttalk-time format='" onload="alert(document.domain)"']。由于插件未对输出进行HTML实体编码,浏览器会将注入的属性值解析为有效的HTML/JavaScript代码并执行。攻击者可以利用此漏洞窃取管理员Cookie、获取敏感信息或进行进一步的攻击。由于漏洞属于存储型XSS,恶意代码会永久存储在数据库中,任何访问该页面的用户都会受到攻击。