CVE-2025-14745WordPress的RSS Aggregator插件(版本最高至5.0.10)存在一个存储型跨站脚本(Stored XSS)漏洞。该漏洞源于插件的'wp-rss-aggregator'短代码功能对用户提供的属性缺乏足够的输入清理和输出转义处理。攻击者利用此漏洞可以在页面中注入恶意JavaScript代码。由于该脚本被存储在数据库中,任何访问包含该短代码页面的用户都会触发恶意代码执行,这可能导致会话劫持、敏感信息窃取、网页篡改等严重安全问题。漏洞需要攻击者具有贡献者(contributor)级别或更高的WordPress账号权限。
漏洞根源在于core/src/Renderer.php文件中的短代码属性处理逻辑缺乏安全防护。攻击者通过构造恶意的短代码属性(如在属性值中注入JavaScript事件处理器),可突破输入验证防线。存储型XSS的特性使得注入代码永久存在于数据库中,只要页面加载就会执行。