CVE-2025-14053CVE-2025-14053是WordPress Wish To Go插件中的一个存储型跨站脚本(XSS)漏洞。该插件是一款用于在WordPress网站上创建心愿单功能的插件。漏洞源于插件在处理短代码(Shortcode)属性时,对用户输入的清理和输出转义不足。攻击者只需拥有Contributor(贡献者)级别或更高的权限,即可通过在文章或页面中嵌入恶意构造的短代码,将恶意JavaScript脚本存储到数据库中。当其他用户访问包含恶意内容的页面时,这些脚本会自动执行,可能导致会话劫持、敏感信息窃取或管理员权限滥用等严重后果。该漏洞影响所有版本至0.5.2版本,由于CVSS评分达到6.4(中危),建议立即采取修复措施。
漏洞根源在于Wish To Go插件的wish-to-go.php文件第124行附近的代码,在处理短代码属性时缺少适当的输入验证和输出编码。攻击者可以利用WordPress的短代码机制,在shortcode属性中注入恶意脚本代码。由于插件直接将用户提供的属性值插入到HTML输出而未进行转义处理,恶意代码会被永久存储在数据库中。每次页面加载时,带有恶意短代码的内容都会触发XSS执行。攻击条件门槛较低,Contributor级别的认证用户即可发起攻击,无需管理员权限。这使得漏洞在实际环境中容易被利用,尤其在多用户博客或允许用户投稿的WordPress站点上风险更高。