CVE-2025-14120CVE-2025-14120是WordPress平台URL Image Importer插件的一个安全漏洞。该插件用于从URL导入图片到WordPress网站。漏洞存在于1.0.7及之前所有版本中,原因是插件在处理SVG文件上传时没有对SVG内容进行充分的净化和验证。SVG文件作为一种XML格式的矢量图形文件,可以包含JavaScript代码。当攻击者(具有Author级别权限或更高)上传包含恶意JavaScript代码的SVG文件时,该文件会被存储在服务器上。当其他用户访问这个SVG文件时,嵌入其中的恶意脚本会在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、网页篡改等安全问题。由于SVG文件通常被允许上传到媒体库且可能被多个页面引用,此漏洞的影响范围较广。
该漏洞的核心问题在于URL Image Importer插件对SVG文件上传缺乏安全验证。SVG(可缩放矢量图形)是一种基于XML的矢量图形格式,支持嵌入JavaScript代码。插件在处理用户上传的SVG文件时,直接将文件内容写入服务器而未进行净化处理。攻击者可以构造包含<script>标签或事件处理器(如onload、onerror等)的SVG文件,利用XML解析特性绕过部分过滤机制。由于WordPress的媒体库功能允许直接访问上传的文件路径,恶意SVG文件可以通过直接URL访问触发执行。攻击者需要具有Author角色权限(PR:L)即可利用此漏洞,在任何引用该SVG文件的页面中注入恶意脚本。CVSS向量显示攻击复杂度低(AC:L),无需用户交互(UI:N),但影响范围限于机密性和完整性(C:L/I:L),可用性无影响(A:N)。