CVE-2025-14453CVE-2025-14453是WordPress的My Album Gallery插件中存在的一个存储型跨站脚本(Stored XSS)安全漏洞。该插件是一款用于在WordPress网站上创建和管理相册的流行插件,用户可以通过短代码在页面中嵌入精美的相册展示功能。漏洞根源在于插件对用户输入的'style_css'短代码属性缺乏充分的输入清理和输出转义处理。攻击者只需拥有WordPress网站的Contributor(贡献者)级别权限,即可利用此漏洞在受影响的页面中注入任意JavaScript代码。由于注入的恶意脚本会被永久存储在数据库中,当其他用户访问包含恶意代码的页面时,脚本将自动执行,可能导致会话劫持、敏感信息窃取、恶意重定向等严重安全问题。此漏洞影响该插件1.0.4及以下所有版本,CVSS评分6.4,属于中等严重程度。鉴于WordPress在全球范围内的广泛使用,以及存储型XSS漏洞的持久性和传播性,建议受影响的网站管理员立即采取修复措施。该漏洞由Wordfence安全团队发现并报告,披露日期为2026年1月7日。
漏洞存在于My Album Gallery插件的class-mygallery-shortcode.php文件第121行附近,具体是处理'style_css'短代码属性的逻辑中。当用户在短代码中传入style_css参数时,插件直接将用户输入的值插入到HTML输出中,未经过任何消毒(sanitization)或转义(escaping)处理。例如,攻击者可以使用类似[mygallery style_css='"><script>alert(document.cookie)</script>']的短代码来注入恶意脚本。由于插件使用add_shortcode()函数注册短代码,处理后的内容会被WordPress保存到数据库中,形成持久性存储。每次页面被访问时,存储的恶意代码都会作为HTML的一部分被发送给用户浏览器执行。攻击者利用此漏洞可以窃取受害者的认证cookies、进行钓鱼攻击、修改页面内容或重定向用户到恶意网站。攻击前提是攻击者拥有一个至少具有Contributor角色的WordPress账户,这在多用户博客或内容管理场景中并不罕见。修复方案是在输出时使用wp_kses()或esc_html()等WordPress安全函数对用户输入进行转义,并在输入阶段使用sanitize_text_field()等函数进行清理。