CVE-2025-11829CVE-2025-11829是WordPress平台Five9 Live Chat插件中的一个存储型跨站脚本(Stored Cross-Site Scripting)漏洞。该漏洞存在于插件处理[five9-chat]短代码的'toolbar'属性时,由于对用户输入的过滤和转义不充分,导致恶意JavaScript代码可以被永久存储在数据库中。当其他用户访问包含恶意代码的页面时,注入的脚本将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。攻击者利用此漏洞需要具备WordPress网站的contributor级别或更高权限账户。CVSS 3.1评分为6.4,属于中等严重程度,主要影响保密性和完整性,可用性不受影响。
漏洞根源在于Five9 Live Chat插件的class-widget.php文件(第151行附近)对shortcode属性的处理逻辑。在处理[five9-chat]短代码的toolbar参数时,插件未对用户输入进行充分的HTML实体转义就直接输出到页面。当攻击者以contributor或更高权限账户在页面中插入恶意构造的shortcode时,例如在toolbar属性中注入JavaScript事件处理器代码,这些恶意代码将被永久存储在WordPress数据库中。其他用户访问该页面时,浏览器会解析并执行这些恶意脚本。由于是存储型XSS,恶意代码会持续存在,除非被手动清除或插件更新修复。此漏洞属于OWASP Top 10中的A3:2017 - 跨站脚本攻击范畴。攻击者可以利用此漏洞窃取管理员cookie、提升权限或进行钓鱼攻击。