CVE-2025-14145CVE-2025-14145是WordPress平台Niche Hero插件中的一个高危安全漏洞。该插件是一款用于快速创建设计精美区块的WordPress工具,被广泛应用于各类WordPress网站中。漏洞存在于插件的nh_row短代码功能中,具体是由于对用户输入的spacing参数缺乏充分的输入清理和输出转义处理。攻击者利用此漏洞可以在网页中注入任意恶意JavaScript代码。由于该漏洞属于存储型XSS,恶意代码会被永久保存在服务器端,所有访问包含恶意代码页面的用户都会受到攻击影响。攻击者只需要拥有WordPress网站的Contributor(贡献者)级别权限即可利用此漏洞,这相对于管理员权限来说门槛较低,大大增加了漏洞的实际威胁程度。该漏洞的CVSS评分为6.4,属于中等严重级别,但由于攻击利用的便利性和广泛的潜在影响范围,建议网站管理员尽快采取修复措施。
漏洞根源在于Niche Hero插件的短代码处理逻辑。插件提供了[nh_row]短代码用于创建行布局,其中spacing参数用于控制行间距。问题出在插件处理该参数时,直接将用户输入的值输出到HTML页面,而没有进行适当的输入验证和输出转义。攻击者可以在spacing参数中注入恶意脚本内容,例如:" onerror="alert(document.cookie)" 或使用事件处理器如 onmouseover、onclick 等。当其他用户访问包含该短代码的页面时,浏览器会执行注入的恶意JavaScript代码。由于是存储型XSS,恶意代码存储在数据库中,每次页面加载都会执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。漏洞代码位置在niche-hero.php文件的第302行附近,该函数在处理shortcode属性时直接使用了未经过滤的用户输入。修复方案需要在输出前对所有用户可控参数进行HTML实体编码或使用WordPress内置的转义函数如esc_attr()进行转义。