CVE-2025-14803CVE-2025-14803是WordPress插件NEX-Forms中的一个高危存储型跨站脚本(XSS)漏洞。该漏洞影响9.1.8之前的所有版本,源于插件未能正确对设置参数进行消毒和转义处理。攻击者可以利用此漏洞在特定配置条件下,通过订阅者权限(subscriber)账户在网站上注入恶意JavaScript代码。由于是存储型XSS,恶意脚本会被永久保存在服务器端,当其他用户访问包含恶意内容的页面时,脚本会自动执行,可能导致会话劫持、敏感信息窃取、凭据盗取等严重后果。此漏洞需要用户交互才能触发,攻击复杂度较低,但机密性、完整性和可用性影响均评定为高。WPScan安全团队发现并报告了此漏洞,CVSS 3.1评分6.8,属于中等严重程度。
NEX-Forms WordPress插件在处理用户输入的表单设置时存在输入验证不足的问题。插件的多个设置字段未对用户提交的内容进行适当的HTML转义和JavaScript过滤。当管理员或具有配置权限的用户创建或编辑表单时,如果在这些设置字段中注入恶意脚本代码,这些代码会被存储在WordPress数据库中。由于插件在输出这些设置值时未进行充分的转义处理,当表单在前端页面渲染时,恶意代码会作为HTML/JavaScript被执行。攻击者利用此漏洞需要拥有WordPress订阅者权限,通过特定配置方式即可触发存储型XSS。成功利用后,攻击者可窃取访问者的cookies、会话令牌,执行任意客户端脚本操作,或进行钓鱼攻击。由于脚本在受害者访问页面时自动执行,属于被动触发型攻击。