CVE-2025-13857Yet Another WebClap是WordPress的一个评论鼓掌插件,允许用户通过短代码在文章中添加鼓掌按钮功能。该插件在0.2及以下版本中存在严重的存储型跨站脚本(XSS)漏洞。漏洞根源在于webclap_button短代码的text参数缺乏足够的输入清理和输出转义处理。攻击者只需拥有Contributor(贡献者)级别及以上的账户权限,即可利用此漏洞在受影响的页面中注入任意JavaScript脚本。由于是存储型XSS,恶意脚本会被永久保存在服务器端,所有访问包含恶意代码页面的用户都会触发该脚本执行,可能导致会话劫持、凭据窃取、恶意重定向等严重后果。此漏洞的CVSS评分为6.4,属于中等严重级别,但考虑到攻击门槛较低且影响范围广泛,实际威胁程度不容忽视。
该漏洞发生在Yet Another WebClap插件的yawebclap.php文件第28行附近。问题代码在处理webclap_button短代码的text参数时,直接将用户输入嵌入到HTML输出中而未进行任何转义处理。攻击者可以通过以下方式构造恶意payload:在shortcode中传入包含JavaScript代码的text参数,例如[webclap_button text='<img src=x onerror=alert(document.cookie)>']。由于插件在保存和输出数据时均未对特殊字符进行HTML实体转义,攻击者的脚本会被浏览器解析执行。攻击者利用此漏洞可以窃取已登录用户的Cookie信息、劫持用户会话、执行任意操作或传播恶意内容。漏洞的利用条件极为宽松,只需要低权限账户即可实施攻击,且无需目标用户进行任何交互操作。