CVE-2025-13840 BUKAZU Search widget存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13840

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

BUKAZU Search widget插件 for WordPress

漏洞概述

BUKAZU Search widget插件的shortcode功能存在存储型XSS漏洞。攻击者可通过在shortcode参数中注入恶意JavaScript代码，当其他用户访问包含该短代码的页面时，恶意脚本将自动执行。

技术细节

该漏洞源于插件未对shortcode参数进行充分输入验证和输出编码。攻击者利用低权限账户（Contributor+）在页面中插入恶意短代码，代码被存储在数据库中并在前端渲染时执行。

攻击链分析

STEP 1

侦察

识别目标WordPress站点及BUKAZU Search widget插件版本

STEP 2

权限获取

获取Contributor或更高权限账户

STEP 3

漏洞利用

在页面中插入包含恶意脚本的shortcode

STEP 4

脚本执行

其他用户访问页面时触发恶意代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

[bukazu_search shortcode='<script>alert(1)</script>']

影响范围

BUKAZU Search widget <= 3.3.2

防御指南

临时缓解措施

立即升级插件至最新版本；若暂无法升级，可临时禁用该插件或限制用户权限