CVE-2025-13728FluentAuth是WordPress平台上一款终极授权和安全插件,为网站提供身份验证和访问控制功能。该插件在2.0.3及之前版本中存在严重的存储型跨站脚本(XSS)漏洞,漏洞位于插件的fluent_auth_reset_password短代码中。由于插件在处理用户提供的属性时缺乏足够的输入消毒和输出转义,攻击者可以通过在短代码属性中注入恶意JavaScript脚本实现持久化的XSS攻击。攻击者需要至少具备贡献者(Contributor)级别的权限即可利用此漏洞。注入的恶意脚本会在任何用户访问包含恶意代码的页面时自动执行,可能导致会话劫持、敏感信息窃取、管理员权限滥用等严重安全后果。此漏洞的CVSS评分为6.4,属于中等严重程度,但由于其存储型特性和低权限要求,仍需及时修补。
该漏洞的根本原因在于FluentAuth插件的CustomAuthHandler.php文件中,对fluent_auth_reset_password短代码的用户输入属性缺少严格的输入验证和输出编码。攻击者可以利用贡献者及以上权限,在短代码属性中注入包含恶意JavaScript代码的payload。当其他用户访问包含该短代码的页面时,浏览器会执行注入的脚本代码。攻击者通常会利用此漏洞窃取用户会话Cookie、伪造表单提交或进行钓鱼攻击。由于WordPress的短代码机制会在页面加载时自动解析执行,恶意代码会持久化存在于数据库中,只要页面存在就会触发。攻击者可能通过编辑器角色或更高权限账户在文章、页面或自定义内容区域插入恶意短代码,等待受害者访问时触发。