CVE-2025-12672CVE-2025-12672是WordPress Flickr Show插件中的一个存储型跨站脚本(XSS)漏洞。该插件是一款用于在WordPress网站上展示Flickr图片的流行插件。漏洞根源在于插件对用户输入的'div_height'参数缺乏充分的输入清理和输出转义处理。攻击者只需拥有Contributor级别或更高的权限,即可通过插入'flickrshow'短代码并构造恶意的'div_height'参数值,将恶意JavaScript脚本存储到数据库中。当其他用户访问包含该短代码的页面时,存储的恶意脚本将在其浏览器中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全后果。由于漏洞属于存储型XSS,恶意脚本会持久存在于受影响页面中,对所有访问该页面的用户构成持续威胁。此漏洞影响该插件1.5及以下所有版本,建议用户尽快升级到最新修复版本。
该漏洞存在于wp-flickrshow插件的flickrshow.php文件第230行附近。当插件处理'flickrshow'短代码时,会从用户输入中获取'div_height'参数值,但未对该参数进行适当的输入验证和HTML实体转义。攻击者可以利用 Contributor 及以上权限的用户身份,在文章或页面中插入类似 [flickrshow div_height='" onmouseover="alert(document.cookie)"'] 的短代码。插件直接将此值输出到HTML属性中,未进行任何过滤或转义处理,导致用户输入的JavaScript代码被浏览器解析执行。由于输出点位于HTML标签属性内,攻击者可利用属性逃逸或事件处理器注入等方式执行任意脚本代码。修复方案应在输出前对'div_height'参数进行sanitize_text_field()和esc_attr()处理。