CVE-2025-13963 CVSS 6.4 中危

CVE-2025-13963 WordPress FX Currency Converter插件存储型XSS漏洞

披露日期: 2025-12-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13963

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress FX Currency Converter插件

漏洞概述

WordPress FX Currency Converter插件在0.2.0及之前版本中存在存储型跨站脚本(XSS)漏洞。漏洞源于插件的'fxcc_convert'短代码对用户提供的属性参数缺乏充分的输入验证和输出编码处理。攻击者通过利用此漏洞可以注入任意JavaScript代码到网页中，当其他用户访问包含恶意代码的页面时，注入的脚本会在用户浏览器中执行，可能导致会话劫持、敏感信息窃取等安全问题。由于漏洞属于存储型，只要恶意代码被注入，即使后续页面更新或删除，恶意脚本仍会持续存在于数据库中，对所有访问该页面的用户构成威胁。

技术细节

该漏洞的根本原因在于插件在处理短代码属性时未进行适当的安全过滤。攻击者可以通过构造特制的'fxcc_convert'短代码，在属性值中嵌入JavaScript脚本标签和恶意代码。由于这些属性值直接被插入到HTML输出中而未经过转义，浏览器会将其解析为可执行脚本。漏洞影响所有使用该插件且允许贡献者级别用户创建或编辑内容的WordPress站点。

攻击链分析

STEP 1

侦察

攻击者识别目标站点使用的WordPress FX Currency Converter插件版本

STEP 2

初始访问

攻击者获得贡献者级别或更高权限的账户

STEP 3

漏洞利用

通过在页面或文章中插入恶意短代码来注入XSS payload

STEP 4

脚本执行

当其他用户访问包含恶意内容的页面时，JavaScript代码在其浏览器中执行

STEP 5

后续行动

可能涉及会话劫持、凭据窃取或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

[fxcc_convert code='"><script>alert(document.cookie)</script>']

影响范围

WordPress FX Currency Converter <= 0.2.0

防御指南

临时缓解措施

立即更新插件到最新版本，如果无法立即更新，可以通过Web应用防火墙规则阻止恶意短代码，或暂时禁用该插件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表