CVE-2025-11874CVE-2025-11874是WordPress Slippy Slider响应式触摸导航滑块插件中的一个存储型跨站脚本(XSS)漏洞。该插件在处理用户提供的shortcode属性时,存在严重的输入清理和输出转义不足问题。攻击者可以利用此漏洞在页面中注入任意JavaScript代码。由于该漏洞为存储型XSS,恶意脚本会被永久保存在服务器端,所有访问含有恶意代码页面的用户都会受到攻击影响。攻击者只需拥有WordPress网站的贡献者(contributor)级别权限即可实施攻击,这在一定程度上降低了攻击门槛。该漏洞影响插件2.0及以下所有版本。
该漏洞存在于Slippy Slider插件的slippy-slider shortcode处理逻辑中。插件在处理shortcode属性时,未对用户输入进行充分的HTML实体转义或输入验证就直接输出到页面。当攻击者通过shortcode注入恶意JavaScript代码时,这些代码会被存储在WordPress数据库中,并在页面加载时执行。攻击者可以通过构造特定的shortcode属性值(如包含onerror、onload等事件处理器)来触发XSS。由于插件使用了不当的输出转义方法,攻击者能够绕过基本的防护措施。漏洞利用前提是攻击者具有至少贡献者级别的WordPress账号权限。