CVE-2025-11805Skip to Timestamp是WordPress平台上广受欢迎的插件,允许用户通过短代码在视频或音频内容中设置跳转时间点。该插件在1.4.4及以下所有版本中存在严重的存储型跨站脚本(Stored XSS)漏洞。漏洞根源在于插件对'skipto'短代码的'time'属性处理不当,缺乏充分的输入清理和输出转义机制。攻击者利用此漏洞可通过在页面中注入恶意JavaScript脚本,当其他用户访问包含恶意代码的页面时,脚本会自动执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全问题。由于该漏洞属于存储型XSS,恶意代码会被永久保存在服务器数据库中,影响范围广泛且持久。
该漏洞存在于Skip to Timestamp插件的skiptotimestamp.php文件第74行附近的代码中。插件在处理'skipto'短代码的'time'参数时,直接将用户输入嵌入到HTML输出中而未进行适当的清理和转义。攻击者可以通过构造特殊的time属性值来注入任意JavaScript代码。例如,使用分号或引号等特殊字符可以突破属性值的边界,进而插入新的HTML标签和脚本内容。由于插件使用add_shortcode()函数注册短代码,处理后的内容会被WordPress保存到数据库中,并在页面加载时自动输出。当受害者访问包含恶意短代码的页面时,浏览器会将其解析为正常的HTML和JavaScript并执行,从而触发XSS攻击。攻击者通常利用此漏洞窃取用户cookies、劫持会话、执行未经授权的操作或进行钓鱼攻击。