CVE-2025-12186CVE-2025-12186是WordPress Weekly Planner插件中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于插件的管理设置功能中,由于插件在处理用户输入时未进行充分的输入清理(input sanitization)和输出转义(output escaping),导致恶意JavaScript代码可以被存储到数据库中。当其他用户访问包含恶意代码的页面时,这些脚本将在受害者浏览器中执行,从而窃取会话令牌、劫持用户账户或进行其他恶意操作。此漏洞需要攻击者具有管理员级别或更高的权限才能利用,且仅影响多站点WordPress安装和禁用unfiltered_html功能的单站点安装。漏洞评分4.4分,属于中等严重程度。
该漏洞的根本原因在于Weekly Planner插件在处理管理员设置页面输入时存在安全缺陷。插件接收用户输入的管理员设置参数后,未对其进行适当的HTML标签过滤和特殊字符转义,直接将用户输入存储到数据库。当这些数据在其他页面被调用并输出到HTML页面时,恶意注入的JavaScript代码会被浏览器解析执行。攻击者可以通过在插件设置表单中注入包含<script>标签或事件处理器(如onerror、onload等)的JavaScript代码。由于该漏洞属于存储型XSS,恶意代码会持久化在服务器端,所有访问受影响页面的用户都会受到攻击。CVSS向量显示攻击复杂度较高(AC:H),需要高权限(PR:H)才能实施攻击,且无需用户交互(UI:N)。