CVE-2025-14767 CVSS 5.5 中危

CVE-2025-14767: WPC Badge Management插件存储型XSS漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14767

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

5.5 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WPC Badge Management for WooCommerce

漏洞概述

WordPress的WPC Badge Management for WooCommerce插件在3.1.6及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于`wpcbm_best_seller`短代码的'text'属性缺乏足够的输入清理和输出转义。拥有商店经理及以上权限的认证攻击者可利用此漏洞在页面注入恶意脚本，诱导用户访问后执行任意Web脚本操作。

技术细节

该漏洞的具体技术原因是插件在处理`wpcbm_best_seller`短代码时，直接将用户可控的'text'属性值输出到HTML响应中，未经过滤。攻击者需要具备Shop Manager或Administrator级别的账户权限。利用过程为：攻击者在后台编辑器中输入包含JavaScript代码的短代码，系统将其存储到数据库。当前台用户访问包含该短代码的页面时，插件会解析短代码并将未经转义的恶意脚本直接渲染在浏览器中，从而导致存储型XSS攻击，进而窃取Cookie、会话令牌或执行其他恶意操作。由于CVSS向量中Scope为Changed，该攻击可能波及到普通浏览用户。

攻击链分析

STEP 1

1. 权限获取

攻击者获取具有Shop Manager或Administrator权限的WordPress账户凭据。

STEP 2

2. 载荷注入

攻击者在后台页面或文章编辑器中插入包含恶意JavaScript代码的`wpcbm_best_seller`短代码。

STEP 3

3. 数据存储

恶意载荷被保存到数据库中，成为页面内容的一部分。

STEP 4

4. 触发漏洞

当普通用户或管理员访问受感染的页面时，浏览器解析并执行注入的恶意脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

[wpcbm_best_seller text="<script>alert('XSS');</script>"]

影响范围

WPC Badge Management for WooCommerce <= 3.1.6

防御指南

临时缓解措施

在未完成插件升级前，建议暂时禁用WPC Badge Management插件，或者严格限制具有编辑权限的用户数量，并对受影响页面的输出内容进行人工审核。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表