CVE-2025-13740CVE-2025-13740是WordPress平台Lightweight Accordion插件中的一个高危安全漏洞。该插件是一款流行的手风琴折叠内容展示插件,在全球范围内被广泛使用。漏洞根源在于插件对用户通过短代码(shortcode)提供的属性参数缺乏充分的输入验证和输出转义处理。攻击者利用此漏洞可以注入恶意JavaScript代码,这些代码会被永久存储在WordPress数据库中。当其他用户访问包含恶意代码的页面时,注入的脚本会自动执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。由于该漏洞为存储型XSS,攻击代码一旦注入即可在所有访问该页面的用户浏览器中执行,危害范围广泛。
该漏洞存在于Lightweight Accordion插件的shortcode处理逻辑中。插件注册了[lightweight-accordion]短代码,允许用户通过属性参数自定义手风琴的显示样式和行为。然而,插件在处理这些属性时仅进行了有限的过滤,未能对特殊字符进行适当转义。当攻击者以贡献者(Contributor)或更高权限账户登录后,可在文章或页面中插入包含恶意脚本的短代码,例如:[lightweight-accordion title='<script>alert(document.cookie)</script>']。由于插件未对title等属性值进行HTML实体转义,恶意代码会被直接写入数据库并在页面渲染时输出到HTML中。攻击者可利用此漏洞窃取管理员Cookie、伪造管理员操作或重定向用户至恶意站点。漏洞影响版本为1.5.20及以下所有版本。