CVE-2025-13906CVE-2025-13906是WordPress WP Flot插件中的一个存储型跨站脚本(Stored XSS)安全漏洞。该漏洞存在于插件的'linechart'短代码功能中,由于插件在处理用户提供的属性时缺乏足够的输入清理和输出转义机制,导致恶意脚本可以被永久存储在受影响页面的数据库中。攻击者利用此漏洞需要具有WordPress网站的贡献者(Contributor)级别或更高权限,一旦成功注入恶意脚本,任何访问被感染页面的用户都会在浏览器中执行这些脚本。攻击者可利用此漏洞窃取用户会话令牌、劫持用户账户、进行钓鱼攻击或在网站上植入恶意内容。由于脚本在页面加载时自动执行,无需受害者点击任何链接,因此危害性较大。该漏洞影响WP Flot插件0.2.2及之前的所有版本。
WP Flot插件的存储型XSS漏洞主要源于其shortcode处理逻辑中的不安全实现。当用户(尤其是具有贡献者权限的用户)使用[linechart]短代码并提供自定义属性时,插件直接将用户输入嵌入到HTML输出中,而未进行适当的输入验证和输出编码。例如,攻击者可以在短代码属性中注入JavaScript脚本标签和恶意代码。由于WordPress的短代码系统会将这些内容存储在数据库中并在页面加载时渲染,因此恶意脚本会被永久植入。当其他用户访问包含该短代码的页面时,浏览器会执行注入的脚本。漏洞存在于wpflot.php文件的第101行附近,插件未对shortcode属性参数进行sanitize或esc_html处理。攻击者可以利用此漏洞窃取cookie信息、进行CSRF攻击或重定向用户到恶意网站。CVSS 3.1评分6.4(中等严重性)反映了该漏洞通过网络低复杂度攻击即可利用,但需要低权限认证且不涉及机密性或完整性方面的高风险影响。