CVE-2025-12935CVE-2025-12935是WordPress平台下FluentCRM插件的一个存储型跨站脚本(XSS)漏洞。该插件是一款功能全面的电子邮件营销和客户关系管理解决方案,广泛应用于WordPress网站中。漏洞根源在于插件对用户输入的属性参数缺乏充分的输入清理和输出转义处理。攻击者可以利用插件提供的'fluentcrm_content'短代码功能,通过注入恶意JavaScript脚本实现持久化的跨站脚本攻击。由于漏洞属于存储型XSS,恶意脚本会被永久保存在服务器端,当其他用户访问包含恶意代码的页面时,攻击代码会自动执行。这可能导致会话劫持、敏感信息窃取、钓鱼攻击传播等严重安全问题。漏洞影响版本为2.9.84及以下所有版本,需要拥有贡献者(contributor)级别权限的认证用户方可利用此漏洞。
该漏洞存在于FluentCRM插件处理'fluentcrm_content'短代码的过程中。攻击者通过构造恶意属性参数,在输入时未能执行适当的安全过滤和字符转义。当这些未经过滤的用户输入被存储到数据库后,在后续页面渲染输出时,恶意脚本会被直接嵌入到HTML响应中执行。攻击者需要具备WordPress站点至少贡献者级别的用户账户即可利用此漏洞。成功利用后,攻击者可以在任意页面注入JavaScript代码,这些代码会在任何访问该页面的用户浏览器中执行。由于是存储型XSS,攻击具有持久性,无需受害者点击特定链接或进行任何交互操作。漏洞代码位置主要涉及app/Hooks/Handlers/PrefFormHandler.php文件中的属性处理逻辑。