CVE-2025-14138: wpletsgo WPLG Default Mail From插件中的CWE-79跨站脚本漏洞

严重性： 中等 类型： 漏洞 CVE编号： CVE-2025-14138

WordPress的WPLG Default Mail From插件存在反射型跨站脚本漏洞，影响所有1.0.0及之前版本。漏洞原因是对$_SERVER['PHP_SELF']变量的输入清理和输出转义不足。这使得未经验证的攻击者能够向页面中注入任意Web脚本，前提是他们能成功诱骗用户执行点击链接等操作。

技术摘要

CVE-2025-14138是在WordPress的WPLG Default Mail From插件中发现的一个反射型跨站脚本漏洞，该插件用于管理外发邮件的默认“发件人”邮箱地址。漏洞根源在于对$_SERVER['PHP_SELF']变量的输入清理和输出转义不足，该变量通常用于获取当前脚本的文件名。由于插件未能正确净化此输入，攻击者可以构造一个包含嵌入在PHP_SELF值中的可执行JavaScript代码的恶意URL。当受害者点击此类链接时，恶意脚本会在网页响应中被反射并在受害者的浏览器上下文中执行。此反射型XSS不要求攻击者经过身份验证，但需要用户交互（点击链接）。该漏洞影响该插件所有1.0.0及之前版本。CVSS 3.1基础评分为6.1，属于中等严重性，具有网络攻击向量、攻击复杂度低、无需特权、需要用户交互、影响机密性和完整性但不影响可用性。由于该漏洞可能通过脚本执行影响其他组件，因此范围已改变。目前尚未发现公开的漏洞利用代码，但该漏洞可能被用于会话劫持、网络钓鱼或传递恶意负载。在发布时缺乏补丁，需要管理员立即采取缓解措施。

潜在影响

对于欧洲组织而言，此漏洞主要对用户会话和数据的机密性和完整性构成中等风险。利用该漏洞可使攻击者窃取身份验证cookie、以用户身份执行操作或将用户重定向到恶意网站，可能导致数据泄露或声誉损害。使用WPLG Default Mail From插件的面向公众的WordPress网站的组织尤其容易受到攻击，特别是那些处理敏感客户或员工数据的组织。反射型XSS也可用作传递更多恶意软件或进行社会工程攻击的载体。虽然可用性不会直接受到影响，但成功利用漏洞的间接后果可能会扰乱业务运营并侵蚀用户信任。鉴于WordPress在欧洲的广泛使用，该威胁可能影响电子商务、政府、教育和媒体等广泛领域。

缓解建议

1. 监控并尽快应用wpletsgo供应商提供的官方补丁或更新。
2. 在此期间，如果WPLG Default Mail From插件对运营不关键，请禁用或移除它。
3. 部署具有强大XSS检测和阻止功能的Web应用防火墙，以过滤针对PHP_SELF变量的恶意负载。
4. 采用内容安全策略（CSP）标头来限制浏览器中未经授权脚本的执行。
5. 审查并清理自定义WordPress主题或插件中所有用户可控制的输入，以防止注入。
6. 教育用户点击可疑链接的风险，尤其是通过电子邮件或社交媒体收到的链接。
7. 进行定期的安全审计和渗透测试，重点关注XSS漏洞。
8. 监控Web服务器日志中是否存在包含针对PHP_SELF或相关参数的可疑负载的异常请求。

受影响国家

德国、英国、法国、意大利、西班牙、荷兰、波兰

来源： CVE Database V5 发布时间： 2025年12月12日星期五