CVE-2025-9989WordPress的Broadstreet插件在1.53.1及之前版本中存在一个存储型跨站脚本(XSS)漏洞。该漏洞源于插件在处理管理员设置时缺乏足够的输入清理和输出转义机制。拥有管理员及以上权限的经过身份验证的攻击者,可以利用此漏洞在页面中注入任意Web脚本。当用户访问被注入的页面时,恶意脚本将在其浏览器中执行。值得注意的是,该安全缺陷主要影响多站点安装环境或已禁用unfiltered_html权限的WordPress站点。
该漏洞的根本原因在于Broadstreet插件在处理管理员后台设置数据时,未对用户提供的数据进行充分的上下文感知过滤和转义。在WordPress生态系统中,通常只有拥有`unfiltered_html`权限的用户(通常是管理员和编辑)才能发布未经过滤的HTML。然而,在多站点网络或安全配置严格的环境中,此权限通常被禁用,此时插件必须自行负责过滤危险内容。Broadstreet插件未能履行这一安全责任,导致攻击者可以构造恶意Payload(如JavaScript代码)并存入数据库。由于是存储型XSS,恶意脚本会持久化存在。当具有更高权限的用户(如超级管理员)访问受影响的插件设置页面时,脚本将在其浏览器上下文中执行。攻击者可利用此机会进行会话劫持、添加后门账户或篡改站点数据,从而实现权限维持或进一步的提权。CVSS向量中的S:C(范围变更)表明攻击可能影响超出该插件本身的安全范围。