CVE-2025-14112CVE-2025-14112是WordPress平台Snillrik Restaurant餐厅菜单插件中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的短代码功能中,具体位于menu_style参数的处理逻辑。由于插件在处理用户输入时未能进行充分的输入清理和输出转义,攻击者可以利用此漏洞在受影响的页面中注入恶意JavaScript代码。攻击成功后,恶意脚本将在任何用户访问包含恶意内容的页面时自动执行,可能导致会话劫持、凭据窃取、重定向攻击等严重后果。由于该漏洞为存储型XSS,恶意代码会永久保存在数据库中,影响范围更广。
该漏洞的根本原因在于Snillrik Restaurant插件的shortcodes.php文件中,对menu_style短代码属性的处理存在安全缺陷。插件在接收用户输入的menu_style参数后,未能对特殊字符进行适当的HTML实体转义就直接输出到页面。当攻击者通过短代码提交包含JavaScript事件处理器或script标签的恶意负载时,这些内容会被存储在WordPress数据库中,并在页面加载时未经处理地呈现给访问者。由于WordPress的短代码机制会在页面渲染时解析并执行相关代码,攻击者注入的恶意脚本将获得在受害者浏览器中执行的权限。攻击者只需拥有WordPress网站的Contributor角色即可利用此漏洞,这大大降低了攻击门槛。漏洞影响插件2.3.0及以下所有版本。