CVE-2025-13456CVE-2025-13456是WordPress ShopBuilder插件中的一个反射型跨站脚本(XSS)漏洞。该漏洞存在于3.2.2之前的版本,由于该插件未对输出参数进行适当的消毒和转义处理,导致攻击者可以在页面中注入恶意脚本代码。攻击者可以通过构造特制的URL链接,诱使高权限用户(如管理员)点击,从而窃取用户会话cookie、劫持账户或执行其他恶意操作。由于漏洞需要用户交互才能触发,因此主要威胁目标为具有管理权限的WordPress管理员。该漏洞的CVSS评分为6.1,属于中等严重程度,攻击向量为网络形式,无需认证即可发起攻击,但需要诱导用户点击恶意链接。
ShopBuilder WordPress插件在处理用户输入参数时存在安全漏洞。漏洞源于插件的某个功能模块(如搜索框或导航参数处理)直接将从URL参数获取的用户输入未经消毒和转义就输出到HTML页面中。攻击者可以通过构造包含恶意JavaScript代码的URL参数(如<script>alert(document.cookie)</script>),当受害者访问该恶意URL时,浏览器会执行注入的脚本代码。由于WordPress管理员具有较高的权限,攻击成功后可获取管理员会话、执行管理员操作甚至进一步入侵服务器。反射型XSS与存储型XSS不同,恶意代码不会保存在服务器端,每次攻击都需要通过社会工程学手段诱导用户访问特制链接。