CVE-2025-13898CVE-2025-13898是WordPress Ultra Skype Button插件中的一个存储型跨站脚本(XSS)漏洞。该插件是一款用于在WordPress网站上添加Skype按钮的实用工具。漏洞源于插件在处理短代码[ultra_skype]中的'btn_id'参数时,未对用户输入进行充分的输入清理和输出转义。攻击者只需要拥有WordPress网站的Contributor级别或更高权限,即可利用此漏洞在受影响的页面中注入任意JavaScript脚本。由于是存储型XSS,恶意脚本会被永久保存在服务器端,所有访问含恶意代码页面的用户都会触发该脚本,可能导致会话劫持、凭据窃取、重定向攻击等严重后果。
漏洞存在于ultra-skype-button插件的index.php文件中,具体位于处理短代码属性的第39行和第44行附近。当用户通过[ultra_skype]短代码的btn_id参数提交数据时,插件直接将用户输入的值嵌入到HTML输出中,未进行任何sanitization或escape处理。攻击者可以通过以下方式利用:1) 创建或编辑文章/页面;2) 插入带有恶意payload的[ultra_skype btn_id='" onmouseover="alert(1)"']短代码;3) 保存并发布内容。由于输入未经过滤,恶意JavaScript代码会被存储在数据库中,当其他用户访问该页面时,浏览器会执行这些脚本。攻击者可窃取cookie、劫持会话或进行钓鱼攻击。