CVE-2025-13604CVE-2025-13604是WordPress平台CleanTalk安全插件的一个高危漏洞。该插件集成了登录安全、防火墙和恶意软件清理功能,在全球范围内被广泛使用。漏洞源于插件对页面URL参数的输入清理和输出转义处理不当,导致未经身份认证的攻击者可以在受影响的页面中注入任意Web脚本代码。由于是存储型XSS漏洞,恶意脚本会被永久保存在服务器端,当任何用户访问包含恶意代码的页面时,攻击Payload会自动执行,可能导致会话劫持、敏感信息窃取、恶意重定向等严重后果。攻击者无需任何权限即可发起攻击,这大大降低了利用门槛,对使用该插件的所有WordPress网站构成威胁。
该漏洞存在于CleanTalk插件的设置处理模块中,具体位于inc/spbc-settings.php文件的第2342行附近。问题根源在于插件直接获取页面URL参数后,未对其进行充分的输入验证和HTML转义处理。当攻击者构造包含恶意JavaScript代码的URL访问受影响的WordPress站点时,这些未经过滤的数据会被存储到数据库或页面响应中。由于插件在输出这些URL数据时缺少适当的输出转义(如htmlspecialchars()处理),浏览器会将其解析为可执行脚本。攻击者可以利用此漏洞注入窃取Cookie、键盘记录、页面篡改等恶意代码。由于脚本在受害者访问页面时自动执行,且能获取当前用户的上下文权限,因此可能造成严重影响。