CVE-2025-13730CVE-2025-13730是WordPress平台OpenID Connect Generic Client插件中的一个存储型跨站脚本(Stored XSS)漏洞。该插件是一款广泛使用的WordPress身份认证集成插件,支持通过OpenID Connect协议将WordPress站点与各种OAuth2/OIDC身份提供商集成,实现单点登录功能。漏洞存在于插件的'openid_connect_generic_auth_url'短代码功能中,由于插件在处理用户输入时缺乏充分的输入清理(input sanitization)和输出转义(output escaping),导致恶意构造的JavaScript代码可以被存储在数据库中。当其他用户访问包含恶意代码的页面时,浏览器会执行这些脚本,从而实现会话劫持、凭据窃取或恶意重定向等攻击。攻击者需要具有Contributor级别或更高的WordPress用户权限即可利用此漏洞,这使得该漏洞在多用户WordPress环境中具有较高的实际威胁性。
该漏洞的根本原因在于插件对'openid_connect_generic_auth_url'短代码参数的处理不当。攻击者通过在短代码属性中注入恶意JavaScript代码,由于插件未对用户输入进行适当的HTML实体转义,这些恶意代码会被直接存储到WordPress数据库中。当页面被渲染时,未转义的脚本内容会被输出到HTML页面中,浏览器将其作为有效脚本执行。攻击者可以利用此漏洞窃取受害者的Cookie会话信息、进行钓鱼攻击、或在受害者浏览器中执行任意JavaScript操作。CVSS 3.1评分6.4(AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N)表明该漏洞可通过网络低复杂度利用,需要低权限认证但无用户交互即可实现,对机密性和完整性造成较低影响。由于漏洞位于短代码功能,攻击者可以在任何允许使用短代码的位置(如文章、页面)注入恶意代码。