CVE-2025-13592CVE-2025-13592是WordPress Advanced Ads插件中的一个严重远程代码执行(RCE)漏洞。该漏洞存在于插件的短代码(Shortcode)处理功能中,具体位于'change-ad__content'参数。攻击者可以通过构造恶意请求,利用此参数注入并执行任意PHP代码。漏洞影响范围涵盖2.0.14及之前的所有版本。由于该插件广泛应用于WordPress网站用于广告管理,此漏洞可能影响大量网站。攻击成功可导致服务器完全沦陷,攻击者可以完全控制网站服务器,执行任意系统命令、安装后门、窃取敏感数据等恶意操作。鉴于CVSS评分达到7.2(高危)且无需用户交互即可利用此漏洞,建议所有使用该插件的用户立即采取修复措施。漏洞由Wordfence安全团队于2025年12月29日披露,发现者为[email protected]。
该漏洞的根本原因在于Advanced Ads插件对'change-ad__content'短代码参数的处理存在安全缺陷。插件在处理短代码时,直接将用户可控的参数值传递给eval()或类似的代码执行函数,而未进行充分的输入验证和安全过滤。具体来说,当攻击者以编辑者(Editor)或更高权限用户身份在文章或页面中插入类似[advanced-ad change-ad__content='恶意代码']的短代码时,恶意代码将在服务器端被执行。漏洞文件位于includes/ads/class-ad-plain.php第36行附近,该文件在处理广告内容时未能正确转义或过滤用户输入。由于WordPress的权限模型中,Editor角色默认可以创建和编辑文章内容,因此攻击门槛相对较低。修复版本通过增加输入验证和参数白名单机制来解决此问题,用户应升级到2.0.15或更高版本以获得安全更新。