CVE-2025-12580SMS for WordPress插件是WordPress平台上广受欢迎的短信通知解决方案。该插件在1.1.8及之前的所有版本中存在一处严重的反射型跨站脚本(XSS)漏洞。漏洞根源在于插件对用户输入的'paged'参数缺乏有效的输入清理和输出转义处理。攻击者可以通过构造恶意链接,诱导用户点击,从而在受害者浏览器中执行任意JavaScript脚本。此类攻击可用于窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或植入恶意内容。由于该漏洞无需认证即可利用,且攻击复杂度较低,对使用该插件的WordPress网站构成中等程度的安全威胁。建议受影响的用户立即升级到最新版本或采取临时防护措施。
该漏洞存在于插件的模板渲染文件sms4wp_template.php第13行附近。问题代码直接获取URL中的'paged'参数值并将其嵌入到HTML输出中,未进行任何消毒处理。攻击者可以通过构造如下URL来触发漏洞:/wp-admin/admin.php?page=sms4wp-settings&paged=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E。当管理员或具有编辑权限的用户点击攻击者提供的恶意链接时,恶意JavaScript代码将在用户浏览器上下文中执行。由于WordPress管理后台通常包含敏感操作,攻击者可利用窃取的认证信息进一步控制整个网站。此外,攻击脚本还可修改页面内容、窃取表单数据或重定向用户到恶意站点。漏洞利用的关键在于'paged'参数值被直接回显到响应页面而未经过htmlspecialchars()等函数转义。