CVE-2025-12691CVE-2025-12691是WordPress平台上一款流行的图片画廊插件Photonic Gallery & Lightbox的安全漏洞。该插件用于集成Flickr、SmugMug和其他图片服务到WordPress网站中。漏洞根源在于插件的lightbox功能对用户提供的caption属性缺乏充分的输入清理和输出转义处理。攻击者只需要拥有WordPress网站的贡献者(Contributor)级别权限即可利用此漏洞。攻击成功后,恶意JavaScript代码会被永久存储在数据库中,当其他用户访问包含恶意代码的页面时,脚本会自动执行。这使得攻击者能够窃取会话Cookie、劫持用户账户、执行未经授权的操作,甚至重定向用户到恶意网站。由于WordPress管理员账户也可能访问这些页面,攻击者有可能进一步获取网站完全控制权。
该漏洞属于存储型跨站脚本攻击(Stored XSS)。在Photonic插件的3.21及之前版本中,插件接收用户输入的caption属性值后,仅进行了有限的验证就直接存储到数据库。当带有lightbox功能的页面被加载时,这些未经过充分转义的数据被直接输出到HTML中。攻击者可以通过构造特殊的JavaScript payload,如:<img src=x onerror=alert(document.cookie)>,将其作为caption属性值提交。由于插件没有对特殊字符进行HTML实体编码,浏览器会将其解析为可执行代码。攻击条件要求攻击者具有WordPress的贡献者角色,该角色通常有权创建和编辑文章内容,但权限低于管理员和编辑者。攻击者可以在文章中插入包含恶意代码的画廊短代码(shortcode),等待管理员或其他用户访问该页面时触发攻击。