CVE-2025-12178CVE-2025-12178是WordPress SpiceForms Form Builder插件中的一个存储型跨站脚本(XSS)漏洞。该插件用于在WordPress网站中构建表单,其1.0及以下所有版本存在严重的安全缺陷。由于插件在处理用户通过'spiceforms'短代码提供的属性时,未进行充分的输入清理和输出转义,攻击者可以利用此漏洞在受影响的页面中注入任意JavaScript代码。由于是存储型XSS,恶意脚本会被永久保存在服务器端,任何访问包含该短代码页面的用户都会自动执行攻击者植入的脚本。攻击者可通过此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件,对网站和用户造成严重安全威胁。
该漏洞的根本原因在于SpiceForms Form Builder插件对用户输入的处理不当。在spiceform.php文件的第135行附近,插件直接使用用户提供的属性值而未进行适当的sanitization和escaping处理。当攻击者通过WordPress短代码机制插入带有恶意JavaScript代码的属性时,这些代码会被存储到数据库中。当其他用户访问包含该短代码的页面时,WordPress会从数据库读取并渲染这些内容,执行其中的恶意脚本。攻击者只需拥有WordPress的contributor级别权限(低权限账户)即可利用此漏洞,无需管理员权限。由于WordPress的短代码机制会在页面加载时自动解析执行,这使得攻击具有持久性和隐蔽性。