CVE-2025-12020CVE-2025-12020是WordPress平台下Double the Donation插件的一个存储型跨站脚本(XSS)安全漏洞。该插件是一款用于职场捐赠的工作场所筹款工具,帮助组织进行筹款活动。漏洞存在于管理后台设置页面,由于插件在处理用户输入时未进行充分的输入消毒和输出转义,导致恶意JavaScript代码可以被存储在数据库中。当其他用户访问包含恶意脚本的页面时,攻击者注入的任意Web脚本将在受害者浏览器中执行。攻击者可利用此漏洞窃取会话Cookie、劫持用户账户、执行未经授权的操作或传播恶意内容。此漏洞的利用需要攻击者拥有管理员级别或更高的权限,且仅影响多站点安装或已禁用unfiltered_html功能的WordPress环境。漏洞影响插件3.0.0及以下所有版本。
该存储型XSS漏洞源于Double the Donation插件在管理后台设置功能中缺乏适当的输入验证和输出编码。攻击者(具有管理员权限)可以在插件的设置字段中注入包含恶意JavaScript代码的payload。由于插件直接将这些未经过滤的输入存储到数据库中,并在后续页面加载时直接输出到HTML页面,攻击者的JavaScript代码将作为页面内容的一部分被浏览器解析执行。攻击者通常会利用此漏洞窃取管理员的会话令牌,从而接管整个WordPress站点。漏洞的技术根源在于插件使用了不安全的echo或print语句直接输出用户可控的数据,而非使用WordPress提供的esc_html()、esc_attr()或wp_kses()等安全函数进行输出转义。修复版本已通过添加适当的输入消毒和输出转义来消除该漏洞。