CVE-2025-14888Simple User Meta Editor是WordPress平台的一个用户元数据编辑插件。该插件在1.0.0及之前的所有版本中存在存储型跨站脚本(Stored XSS)漏洞。漏洞的根本原因在于插件对用户元数据字段的输入验证不足,同时在输出时缺少适当的转义处理。这使得具有管理员级别权限的认证攻击者能够在用户元数据中注入任意Web脚本(如JavaScript)。当其他用户或管理员访问包含恶意脚本的页面时,这些脚本将自动执行,可能导致会话劫持、敏感信息窃取、权限滥用等严重后果。值得注意的是,此漏洞仅影响WordPress多站点(MU)安装环境,以及在单站点安装中禁用了unfiltered_html功能的场景。攻击者利用该漏洞可以在管理员不知情的情况下执行恶意操作,对网站安全构成中等程度的威胁。
漏洞存在于Simple User Meta Editor插件的文件处理逻辑中,具体为includes/templates/editor/index.php第57行附近的代码段。该插件在处理用户元数据(user meta)时,直接将用户输入的内容存储到数据库,而未对特殊HTML字符进行转义。当这些数据从数据库取出并展示在WordPress管理后台页面时,浏览器将其解析为HTML/JavaScript代码执行。攻击者利用此漏洞的攻击流程如下:首先以管理员身份登录WordPress后台,然后导航到用户元数据编辑页面,在元数据值字段中注入恶意JavaScript代码(如<script>alert(document.cookie)</script>),最后保存数据。由于该数据以存储型方式保存,所有访问该用户资料页面的用户都会触发恶意脚本执行。此漏洞的利用需要攻击者具备高权限(管理员级别),这在一定程度上限制了其利用范围,但在多站点环境中,具有子站点管理员权限的攻击者仍可利用此漏洞提升权限或对其他用户发起攻击。