CVE-2025-13843：VigLink SpotLight By ShortCode插件中的跨站脚本漏洞

漏洞概述

CVE-2025-13843 是VigLink SpotLight By ShortCode WordPress插件中存在的一个存储型跨站脚本漏洞，影响所有1.0.a及之前版本。该漏洞源于网页生成过程中对输入的不当中和（CWE-79），具体是spotlight短代码的float参数未经过充分的输入清理或输出转义。

技术细节

拥有投稿者（Contributor）或更高权限的认证攻击者可利用此缺陷，向插件生成的页面中注入任意JavaScript代码。由于恶意脚本被存储，每当任何用户访问受感染的页面时，脚本都会执行，可能导致会话劫持、窃取Cookie或以用户身份执行未授权操作。

该漏洞的CVSS 3.1基础评分为6.4，属于中危级别。攻击向量为网络（远程），攻击复杂度低，需要具备权限（投稿者或以上），无需用户交互，并且由于影响其他组件而导致范围改变。尽管目前尚未有已知的在野利用，但此漏洞存在于一个流行的CMS插件中，风险显著。

潜在影响

对于欧洲组织而言，此漏洞主要对安装了该插件的WordPress网站构成中度风险。利用该漏洞可能导致用户账户泄露、敏感会话信息泄漏，以及网站被篡改或发生未授权操作。这会损害组织声誉，导致涉及GDPR保护的个人数据泄露，并在网站被篡改时引发运营中断。

由于漏洞需要投稿者或更高级别的认证访问，内部威胁或账户被攻破会加剧风险。依赖此插件进行内容展示的对外公开的WordPress网站尤其脆弱。在金融、医疗和政府等监管严格的行业，影响更为严重。

缓解建议

欧洲组织应立即审计其WordPress安装，确认是否存在VigLink SpotLight By ShortCode插件及其版本。如果安装了易受攻击的版本（1.0.a及之前），管理员应在安全补丁发布前禁用或移除该插件。

在没有官方补丁的情况下，组织可以实施临时缓解措施，例如：

• 仅将投稿者级别的用户权限授予受信任的人员。
• 监控不寻常的短代码使用情况。
• 部署具有自定义规则的Web应用防火墙，以检测并拦截针对float参数的恶意负载。
• 如果有自定义开发资源，可以在应用层强制执行输入验证和输出编码。
• 定期监控日志中是否存在XSS攻击迹象，并教育内容贡献者关于注入不受信任内容的风险。
• 为所有认证用户实施多因素认证，以降低账户被攻破进而导致漏洞利用的风险。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典。

来源与发布时间

来源： CVE Database V5 发布时间： 2025年12月12日 星期五