CVE-2025-13966Paypal Payment Shortcode是WordPress的一个插件,用于在页面中嵌入PayPal支付按钮。该插件1.01及之前版本中存在存储型跨站脚本(XSS)漏洞。漏洞源于对buttom_image参数处理不当,未进行充分的输入验证和输出转义。攻击者只需拥有Contributor级别(贡献者)的WordPress账户即可利用此漏洞,在页面中注入恶意JavaScript代码。这些恶意代码会被永久存储在数据库中,当其他用户访问包含恶意代码的页面时,恶意脚本会自动执行,可能导致会话劫持、敏感信息窃取或进一步的攻击。由于漏洞利用门槛低且影响范围广,建议尽快升级到修复版本。
该漏洞存在于插件的短代码处理逻辑中。当用户使用[paypal-shortcode]短代码并通过buttom_image参数传递数据时,插件直接将用户输入嵌入到HTML输出中,缺少适当的HTML实体转义。攻击者可以利用Contributor权限创建或编辑文章,在buttom_image参数中注入恶意脚本,例如:<img src=x onerror=alert(document.cookie)>。由于存储型XSS的特性,恶意代码会永久保存在数据库中,所有访问该页面的用户都会受到影响。攻击者可窃取用户Cookie、会话令牌,或进行钓鱼攻击。