CVE-2025-12713CVE-2025-12713是WordPressSoundslides插件中的一个存储型跨站脚本漏洞。该插件是一款用于在WordPress网站中嵌入幻灯片演示的流行插件。漏洞源于插件的soundslides短代码处理器对用户提供的属性参数缺乏充分的输入清理和输出转义。在1.4.2及之前的所有版本中,攻击者只需拥有Contributor(贡献者)级别或更高的WordPress账户权限,即可在页面或文章中注入恶意JavaScript代码。由于是存储型XSS,恶意代码会被永久保存在数据库中,当其他用户访问包含恶意内容的页面时,攻击脚本会自动执行,可能导致会话劫持、凭据窃取、恶意重定向等严重后果。此漏洞的CVSS评分为6.4,属于中危级别,攻击向量为网络,复杂度低,无需特殊用户交互即可实现攻击。
该漏洞的技术根源在于soundslides短代码处理函数对用户可控属性缺乏安全过滤。参考插件源代码(soundslide.php第101、102、117、143行),短代码在处理如id、width、height等参数时,直接将用户输入嵌入到HTML输出中而未进行适当转义。攻击者可以通过构造包含恶意脚本的属性值来触发XSS。例如,在短代码中注入onerror事件处理器或javascript:伪协议链接。当管理员或其他用户访问包含该短代码的页面时,浏览器会解析并执行嵌入的恶意脚本。由于WordPress的Contributor角色本身具有创建和编辑草稿文章的权限,攻击门槛相对较低。成功利用后,攻击者可窃取管理员Cookie、修改页面内容或进行进一步的社会工程攻击。建议立即升级到插件最新版本,并审查近期由低权限用户创建的内容。