CVE-2025-13656CVE-2025-13656是WordPress平台下Cute News Ticker插件的一个高危安全漏洞。该插件是一款用于在WordPress网站上展示滚动新闻标题的流行插件,在全球范围内被广泛使用。漏洞存在于插件的短代码(Shortcode)功能中,具体是'color'属性参数。由于插件在处理用户输入时没有对'color'属性进行充分的输入清理和输出转义,导致恶意脚本可以被存储在数据库中。当其他用户访问包含该恶意短代码的页面时,存储的恶意JavaScript代码将在受害者浏览器中执行。攻击者可以利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。由于该漏洞需要 Contributor 级别权限才能利用,影响范围相对有限,但仍需管理员高度重视并及时修补。
该漏洞的根本原因在于Cute News Ticker插件的main-function.php文件第60行附近代码对用户输入的'color'短代码属性缺乏有效的输入验证和输出编码。攻击者通过WordPress的短代码机制,可以提交包含恶意JavaScript代码的'color'属性值,例如:'[cute-news-ticker color="onmouseover=alert(document.cookie)//"]'。由于插件直接将此值插入到HTML输出而未进行适当的HTML实体转义,恶意代码会被浏览器解析执行。存储型XSS的特点是恶意脚本永久存储在服务器端,每次有用户访问相关页面都会触发执行。这与反射型XSS不同,后者需要诱导用户点击特定链接才会触发。攻击者利用Contributor权限创建或编辑文章/页面,插入恶意短代码,即可实现持久化的攻击。攻击成功后可获取受害者Cookie、进行UI篡改或重定向用户。