CVE-2025-12652CVE-2025-12652是WordPress Ungapped Widgets插件中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的ungapped-form短代码中,由于对用户提供的prefillvalues参数缺乏足够的输入清理和输出转义处理,导致恶意脚本可以被存储在数据库中。当其他用户访问包含恶意脚本的页面时,攻击者的JavaScript代码将在受害者浏览器中执行。攻击者可以利用此漏洞窃取会话Cookie、劫持用户账户、执行钓鱼攻击或传播恶意内容。由于攻击需要 contributor(贡献者)级别或更高的权限,漏洞利用门槛相对较低,但影响范围仅限于使用该插件的WordPress网站。
该漏洞的根本原因在于Ungapped Widgets插件在处理ungapped-form短代码的prefillvalues属性时,未对用户输入进行充分的输入验证和输出编码。攻击者可以通过在短代码中注入恶意JavaScript代码,如:
[ungapped-form prefillvalues='"><script>alert(document.cookie)</script>']
由于插件直接将此值插入到HTML输出而未进行适当的HTML实体转义,恶意脚本会被浏览器解析执行。存储型XSS的特点是恶意脚本被永久存储在服务器端,每次有用户访问受影响页面时都会触发执行。这使得攻击具有持久性和广泛影响。攻击者只需拥有WordPress的contributor权限即可利用此漏洞,在帖子或页面中插入恶意短代码,等待其他用户访问时触发攻击。