CVE-2025-14122CVE-2025-14122是WordPress的AD Sliding FAQ插件中存在的一个存储型跨站脚本(XSS)安全漏洞。该漏洞由于插件在处理sliding_faq短代码时,对用户提供的属性参数缺乏足够的输入 sanitization(消毒)和输出转义(output escaping)而导致的。攻击者可以利用此漏洞,通过在短代码属性中注入恶意JavaScript脚本,当其他用户访问包含该短代码的页面时,恶意脚本将在受害者浏览器中执行。由于该插件被广泛应用于WordPress网站的FAQ(常见问题)展示功能,攻击者一旦成功注入恶意代码,可能窃取用户的会话Cookie、劫持用户账户、进行钓鱼攻击或在网站上执行其他恶意操作。漏洞影响版本为2.4及以下所有版本,攻击者需要拥有WordPress网站的贡献者(Contributor)级别或更高权限账户即可利用此漏洞。
AD Sliding FAQ插件提供了[sliding_faq]短代码功能,允许用户通过短代码在页面或文章中嵌入可折叠展开的FAQ组件。然而,插件在处理短代码属性时存在安全缺陷。具体问题在于:1) 输入验证不足:插件未对sliding_faq短代码的属性参数进行严格的输入验证和过滤,允许攻击者传入包含恶意脚本代码的属性值;2) 输出转义缺失:插件在将属性值输出到HTML页面时,未进行适当的HTML实体编码或转义处理,导致用户输入的恶意代码被浏览器直接解析执行。由于存储型XSS的特性,恶意代码会被永久保存在数据库中(存储在文章或页面的短代码中),所有访问该页面的用户都会受到攻击。攻击者只需在文章或页面中插入恶意短代码,等待管理员或其他用户访问该页面即可触发攻击。Wordfence安全团队于2026年1月7日披露此漏洞并提供修复建议。