CVE-2025-8615CVE-2025-8615是WordPress CubeWP插件中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于插件的cubewp_shortcode_taxonomy短代码功能中,影响版本至1.1.26。由于插件在处理用户提供的属性时缺乏足够的输入清理和输出转义,攻击者可以注入恶意JavaScript代码。这些恶意代码会被永久存储在服务器端,当其他用户访问包含该短代码的页面时,攻击脚本会自动执行。攻击者可以利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。漏洞需要攻击者具备贡献者级别(Contributor)或更高的WordPress账户权限才能利用,这降低了漏洞的利用门槛,因为WordPress默认情况下 Contributor 角色无法直接发布内容,但可以创建待审核的草稿。
漏洞根源在于CubeWP插件的cubewp_shortcode_taxonomy短代码处理器对用户输入参数缺乏安全过滤。当攻击者以认证用户身份(具有Contributor及以上权限)在短代码属性中注入恶意脚本时,这些未经过滤的内容会被直接存储到WordPress数据库中。在后续页面渲染过程中,这些恶意代码会被当作正常HTML/JavaScript执行。攻击者通常利用方式是在短代码的taxonomy参数中插入事件处理器,如onerror、onload等,或直接注入script标签。由于该内容以存储型方式存在,所有访问该页面的用户都会受到攻击,包括管理员。CVSS评分6.4(AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N)表明攻击复杂度低、无需用户交互,但影响范围限于特定用户数据机密性和完整性。