CVE-2025-13892MG AdvancedOptions是WordPress的一个高级选项管理插件。该插件在1.2及之前的所有版本中存在反射型跨站脚本(XSS)漏洞。漏洞的根本原因在于插件直接使用PHP的$_SERVER['PHP_SELF']变量而未进行充分的输入清理和输出转义。攻击者可以通过构造包含恶意JavaScript代码的URL链接,诱使受害者点击该链接。当受害者访问包含恶意payload的URL时,攻击者的脚本代码将在受害者的浏览器上下文中执行,可能导致会话劫持、敏感信息窃取或进一步的钓鱼攻击。由于该漏洞为反射型XSS,需要用户交互(如点击链接)才能触发,因此攻击复杂度较高,但仍对WordPress站点构成安全威胁。建议受影响的用户立即采取修复措施或使用临时缓解方案。
该漏洞源于MG AdvancedOptions插件在处理HTTP请求时,直接将$_SERVER['PHP_SELF']的值用于页面输出而未进行适当的输入验证和输出编码。$_SERVER['PHP_SELF']返回当前执行脚本的路径信息,攻击者可以通过在URL路径中注入恶意代码来利用此变量。例如,访问形如/wp-admin/admin.php/<script>alert(1)</script>的URL时,PHP_SELF会包含完整的路径信息,如果插件直接将该变量输出到HTML中而未进行htmlspecialchars()转义,则注入的JavaScript代码将在页面加载时执行。攻击者通常会构造包含session token窃取或cookie盗取的payload,通过社会工程手段诱导管理员或其他用户点击恶意链接。由于攻击代码存储在URL参数中而非服务器端,反射型XSS的检测和防护相对困难,需要在输出点进行严格的HTML编码。