CVE-2025-11856CVE-2025-11856是WordPress平台Eventbee Ticketing Widget插件中的一个高危安全漏洞。该漏洞为存储型跨站脚本攻击(Stored XSS),源于插件未对用户输入进行充分的输入验证和输出编码。攻击者可通过使用'eventbeeticketwidget'短代码注入恶意JavaScript脚本,这些脚本会被永久存储在受影响页面的数据库中。当其他用户访问包含恶意代码的页面时,注入的脚本将自动执行,可能导致会话劫持、敏感信息窃取、重定向到钓鱼网站等严重安全问题。由于该漏洞需要认证用户具有贡献者(Contributor)级别或更高权限才能利用,降低了漏洞的利用门槛,但同时也意味着任何具有该权限的用户都可能成为潜在攻击者。此漏洞影响插件1.0及以下所有版本,建议用户立即采取修复措施。
该漏洞的根本原因在于Eventbee Ticketing Widget插件在处理'eventbeeticketwidget'短代码时,对用户提供的多个参数缺乏适当的输入清理和输出转义。攻击者可以利用WordPress的短代码功能,在页面或文章中嵌入带有恶意载荷的短代码。恶意脚本会被WordPress保存到数据库中,形成持久性威胁。每次有用户访问包含该短代码的页面时,服务器会从数据库读取并输出未经过滤的内容,浏览器则会将其作为有效HTML/JavaScript执行。CVSS 3.1评分6.4(中危)反映了该漏洞通过网络可利用(N)、攻击复杂度低(L)、需要低权限(P:L)、无需用户交互(U:N)的特点。攻击成功后可影响机密性(C:L)和完整性(I:L),但对可用性无影响(A:N)。利用此漏洞,攻击者能够窃取管理员Cookie、修改页面内容或进行进一步权限提升攻击。