CVE-2025-14114CVE-2025-14114是WordPress 1180px Shortcodes插件中的一个存储型跨站脚本(Stored Cross-Site Scripting)漏洞。该插件用于在WordPress网站上添加1180px相关的短代码功能。漏洞根源在于插件对用户输入的「class」短代码属性缺乏充分的输入清理和输出转义处理。攻击者利用此漏洞可以在网页中注入任意JavaScript脚本,这些恶意脚本会被永久存储在数据库中。当其他用户访问包含恶意代码的页面时,注入的脚本会自动执行,可能导致会话劫持、敏感信息窃取、网页篡改等严重后果。由于该插件版本1.1.1及之前所有版本均受影响,全球大量使用此插件的WordPress网站面临安全风险。
漏洞位于1180px.php文件第115行附近的短代码处理逻辑中。插件在注册和渲染[1180px]等短代码时,直接将用户提供的class属性值插入到HTML元素的class属性中,而未进行任何过滤或转义处理。攻击者可以通过构造包含恶意JavaScript代码的class属性值来触发XSS。例如,使用onerror事件处理器配合img标签或使用javascript:协议前缀等方式注入脚本。由于WordPress的短代码机制会自动解析并输出内容,被注入的恶意代码会被永久保存在文章/页面内容中,形成存储型XSS。攻击者需要至少具有Contributor级别的用户权限即可利用此漏洞,这意味着即使是非管理员用户也能发起攻击,大大降低了利用门槛。