CVE-2025-13854CVE-2025-13854是WordPress Curved Text插件中的一个存储型跨站脚本漏洞。该插件用于在WordPress网站上创建弧形文字效果,漏洞存在于arctext短代码的radius参数处理中。由于插件在处理用户输入时未进行充分的输入清理和输出转义,攻击者可以通过在radius参数中注入恶意JavaScript代码来实现存储型XSS攻击。拥有Contributor级别(贡献者)及更高权限的已认证用户可以利用此漏洞,在受影响的页面中注入任意Web脚本。当其他用户访问包含恶意代码的页面时,注入的脚本将自动执行,可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。该漏洞影响插件0.1及以下所有版本。
漏洞根源在于Curved Text插件的arctext短代码处理逻辑中。攻击者通过构造恶意的radius参数值,可以在数据库中存储包含JavaScript代码的输入。当其他用户访问包含该短代码的页面时,未经转义的恶意代码会被浏览器执行。具体利用方式为:攻击者创建一个包含特殊构造的arctext短代码的帖子或页面,其中radius参数值被设置为包含<script>标签或事件处理器(如onerror、onload等)的恶意代码。插件在渲染时直接将此值输出到HTML页面中,未进行任何输出编码或转义处理。由于该数据被永久存储在数据库中,任何访问该页面的用户都会触发恶意脚本。此类存储型XSS漏洞的危害性高于反射型XSS,因为恶意代码会在用户不知情的情况下持续执行。