CVE-2025-13610CVE-2025-13610是WordPress插件RegistrationMagic中的一个高危安全漏洞。该插件是一款功能强大的自定义注册表单、用户注册、支付和用户登录解决方案,被广泛应用于WordPress网站的用户管理和注册流程。漏洞存在于插件的RM_Forms短代码功能中,由于对theme属性的输入清理和输出转义不足,导致攻击者可以在页面中注入恶意JavaScript代码。该漏洞的CVSS评分为6.4,属于中等严重程度。攻击者需要具有贡献者级别(Contributor)或更高的WordPress账户权限即可利用此漏洞。一旦攻击成功,注入的恶意脚本将在所有访问该页面的用户浏览器中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。此漏洞影响所有版本直至6.0.6.7,建议用户立即升级到最新版本以修复此安全问题。
该漏洞是典型的存储型跨站脚本(Stored XSS)漏洞,存在于RegistrationMagic插件的RM_Forms短代码处理逻辑中。具体问题在于插件在处理shortcode的theme属性时,未能对用户输入进行充分的输入验证和输出转义。攻击者只需在RM_Forms短代码中构造恶意的theme属性值,即可将JavaScript脚本存储到数据库中。当其他用户访问包含该短代码的页面时,恶意脚本会作为页面内容的一部分被浏览器解析执行。漏洞利用条件相对宽松,攻击者需要具有至少贡献者级别的WordPress账户权限。攻击者可以利用此漏洞窃取管理员Cookie、修改页面内容、进行钓鱼攻击或传播恶意软件。由于是存储型XSS,攻击具有持久性,恶意代码会一直存在于页面中直到被手动清除。