CVE-2025-11803CVE-2025-11803是WordPress平台下WPSite Shortcode插件的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的多个短代码处理函数中,由于对用户输入的清理和输出转义处理不当,攻击者可以在特定短代码属性中注入恶意JavaScript脚本。漏洞影响范围为WPSite Shortcode插件1.2及以下所有版本。攻击者利用该漏洞需要具备WordPress网站的贡献者(Contributor)级别或更高权限。成功利用后,攻击者注入的恶意脚本代码将存储在数据库中,当其他用户访问包含恶意代码的页面时,脚本会自动执行,可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。由于该漏洞属于存储型XSS,其危害性高于反射型XSS,因为恶意代码会持久化存在于网站上,对所有访问者构成威胁。
漏洞根源在于WPSite Shortcode插件的shortcodes/wpsite-date.php文件中第19、35、51行的代码实现。问题代码在处理[wpsite_y]短代码的'format'属性和[wpsite_postauthor]短代码的'before'属性时,直接将用户输入插入到错误消息中进行输出,而未进行充分的输入验证和HTML转义。具体而言,代码使用类似sprintf或字符串拼接的方式构造错误消息,将用户可控的参数值直接拼接到字符串中,当错误消息被输出到网页时,恶意构造的脚本标签和JavaScript代码会被浏览器解析执行。攻击者只需在短代码属性值中嵌入<script>alert('XSS')</script>或类似的事件处理器如<img src=x onerror=alert(1)>,即可实现持久化的XSS攻击。由于WordPress的贡献者角色具有创建和编辑文章的权限,攻击门槛相对较低。