CVE-2025-13739CVE-2025-13739是WordPress CryptX插件中的一个存储型跨站脚本(Stored XSS)漏洞。该插件是用于在WordPress网站上实现加密和混淆功能的插件。漏洞存在于插件的cryptx短代码(shortcode)中,由于对用户提供的属性参数缺乏足够的输入清理和输出转义,导致恶意脚本可以被存储到数据库中。当其他用户访问包含恶意代码的页面时,注入的JavaScript脚本会自动执行,可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。攻击者需要拥有WordPress贡献者(Contributor)级别或更高的用户权限即可利用此漏洞。由于存储型XSS的特性,恶意脚本会持久存在于页面中,影响所有访问该页面的用户。
漏洞根源在于CryptX插件的CryptX.php文件中多个位置对用户输入处理不当。具体问题出现在classes/CryptX.php的第1295、149、237和604行附近,这些位置在处理cryptx短代码属性时未进行适当的HTML转义。攻击者可以通过在短代码属性中注入恶意JavaScript代码,如<a>标签配合onclick事件处理器。由于插件直接将该属性值输出到HTML页面而未进行转义,恶意代码会被浏览器解析执行。WordPress的shortcode机制会在页面渲染时自动解析[cryptx]短代码,使得存储的恶意脚本得以执行。漏洞影响版本为4.0.5及以下的所有版本,攻击者利用此漏洞可以窃取管理员cookie、提升权限或进行其他恶意操作。