CVE-2025-13841Smart App Banners是WordPress平台上一款用于在网站页面展示智能应用横幅的插件。该插件在1.2及以下所有版本中存在严重的存储型跨站脚本(XSS)漏洞。漏洞源于插件在处理app-store-download短代码的size和verticalalign参数时,未对用户输入进行充分的输入消毒和输出转义。攻击者利用此漏洞可通过在页面中注入恶意JavaScript脚本,当其他用户访问被注入的页面时,恶意脚本将自动执行,可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。由于该漏洞为存储型XSS,恶意代码会被永久保存在服务器端,影响范围更广。攻击者需要具有Contributor级别或更高的WordPress用户权限即可实施攻击。
漏洞存在于Smart App Banners插件的index.php文件第321行附近。当用户使用[app-store-download]短代码并提供size和verticalalign参数时,插件直接将这些参数值嵌入到HTML输出中而未进行任何过滤或转义处理。攻击者可以在这些参数中注入恶意JavaScript代码,例如:size=" onmouseover=alert(document.cookie) "或verticalalign="><script>alert('XSS')</script>。由于插件在保存短代码内容时未进行输入验证,且在页面渲染时未进行输出编码,导致注入的恶意脚本被浏览器作为合法HTML/JavaScript执行。攻击者利用Contributor权限创建或编辑包含恶意短代码的文章/页面,即可触发存储型XSS攻击。所有访问该页面的用户都会受到威胁。