CVE-2025-13903CVE-2025-13903是WordPress PullQuote插件中的一个存储型跨站脚本(XSS)漏洞。该插件用于在WordPress文章中创建引用样式,其pullquote短代码在所有版本直到1.0版本都存在安全缺陷。漏洞的根本原因在于对用户提供的属性参数缺乏足够的输入清理和输出转义。攻击者利用此漏洞可以通过在pullquote短代码中注入恶意JavaScript脚本,当其他用户访问包含恶意代码的页面时,脚本将在受害者浏览器中执行。由于是存储型XSS,恶意脚本会永久保存在服务器端,影响所有访问该页面的用户。攻击者只需具备贡献者(contributor)级别或更高的权限即可实施攻击,这在WordPress多用户博客环境中尤其危险。攻击成功可能导致会话劫持、敏感信息窃取、管理员权限滥用等严重后果。
漏洞存在于PullQuote插件的core.php文件第12行附近,当处理pullquote短代码时,插件直接使用用户提供的属性而未进行适当的安全过滤。WordPress的add_shortcode()函数在注册短代码时,插件应该使用esc_html()、esc_attr()或sanitize_text_field()等函数对用户输入进行清理和转义。然而该插件直接输出用户控制的属性值到HTML中。攻击者可以通过构造如下短代码注入恶意脚本:[pullquote align='center' quote='<img src=x onerror=alert(document.cookie)>']。当页面渲染时,未转义的HTML会被浏览器执行。CVSS 3.1评分6.4(中危),攻击向量为网络,认证要求低权限(贡献者级别),无需用户交互即可触发。由于影响范围覆盖所有使用该插件的页面,且为存储型漏洞,持久化威胁较高。