CVE-2025-14552CVE-2025-14552是WordPress MediaPress插件中的一个高危安全漏洞。该插件是WordPress平台上流行的多媒体相册和媒体管理组件,被广泛应用于需要用户上传和管理图片、视频、音频等多媒体内容的网站。漏洞存在于插件的mpp-uploader短代码功能中,由于该短代码在处理用户提供的属性参数时,没有对输入进行充分的清理和转义处理,导致攻击者可以在页面中注入恶意JavaScript代码。攻击者利用此漏洞成功注入恶意脚本后,当其他用户访问包含注入代码的页面时,恶意脚本将在受害者浏览器中执行,从而窃取Cookie、会话令牌、劫持用户账户或进行其他恶意操作。由于该漏洞是存储型XSS,恶意代码会被永久保存在服务器端,影响范围更广,危害更为严重。攻击者只需要拥有WordPress网站的贡献者(Contributor)级别权限即可实施攻击,这大大降低了攻击门槛。该漏洞影响MediaPress插件1.6.1及以下所有版本,涉及大量使用该插件的WordPress网站。
该漏洞的根本原因在于MediaPress插件的mpp-uploader短代码对用户可控的输入参数缺乏安全处理。具体来说,插件在处理shortcode属性时,直接将用户提供的参数值输出到HTML页面,而没有进行适当的输入验证和输出编码。在WordPress的shortcode机制中,用户可以通过帖子内容传递任意属性参数给短代码处理器。攻击者可以构造包含恶意JavaScript代码的属性值,例如在mpp-uploader短代码的属性中注入<script>alert('XSS')</script>或使用事件处理器如onerror、onload等。由于插件直接将这些未经转义的值输出到页面HTML中,浏览器会将其解析为可执行脚本。攻击者利用此漏洞可以窃取已登录用户的认证信息,包括cookie和会话令牌。由于WordPress的会话cookie通常具有较长的有效期,攻击者获取后可长时间维持对受害者账户的控制。此外,攻击者还可以利用此漏洞进行钓鱼攻击,在合法页面上嵌入恶意内容,或将用户重定向到恶意网站。由于该存储型XSS漏洞影响所有访问被注入页面的用户,攻击危害范围广泛。