CVE-2025-12663CVE-2025-12663是WordPress平台下Jeba Cute forkit插件的一个存储型跨站脚本(Stored XSS)漏洞。该插件是一款用于创建Forkit浮动侧边栏效果的WordPress插件,在1.0版本及之前的所有版本均受影响。漏洞的根本原因在于插件在处理短代码(shortcode)属性时,对用户输入的'text'参数缺乏足够的输入清理和输出转义。攻击者通过利用jeba_forkit短代码,可以在页面中注入任意JavaScript脚本。由于攻击属于存储型XSS,恶意脚本会被永久保存在服务器端,当其他用户访问包含恶意内容的页面时,注入的脚本会自动执行。这可能导致会话劫持、敏感信息窃取、恶意重定向等安全风险。漏洞需要认证才能利用,但只要具备贡献者(contributor)级别权限即可实施攻击,认证门槛相对较低。
该漏洞存在于Jeba Cute forkit插件的短代码处理逻辑中。插件提供了[jeba_forkit]短代码功能,允许用户通过text参数自定义显示文本。问题出在插件没有对text参数进行输入验证和输出编码。当攻击者在短代码中注入恶意JavaScript代码时,这些代码会被直接写入数据库并在页面渲染时未经转义输出。例如,使用[jeba_forkit text='<script>alert(document.cookie)</script>']这样的短代码,恶意脚本会被存储并在每次页面访问时执行。攻击者利用此漏洞可以窃取受害者的认证Cookie、进行钓鱼攻击或修改页面内容。由于是存储型XSS,攻击只需成功注入一次即可持续影响所有访问该页面的用户。