概述
CVE-2025-12034是Fast Velocity Minify WordPress插件中的一个存储型跨站脚本漏洞,影响3.5.1及以下所有版本。
漏洞描述
Fast Velocity Minify WordPress插件在所有3.5.1及以下版本中存在存储型跨站脚本漏洞,这是由于输入清理和输出转义不足导致的。该漏洞使得具有管理员级权限及以上的认证攻击者能够在页面中注入任意Web脚本,当用户访问被注入的页面时这些脚本将会执行。此漏洞仅影响多站点安装和已禁用unfiltered_html的安装。
漏洞信息
发布日期:2025年10月25日上午7:15
最后修改:2025年10月25日上午7:15
远程利用:是
信息来源:security@wordfence.com
CVSS评分
评分:4.4
版本:CVSS 3.1
严重程度:中等
向量:AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
可利用性评分:1.3
影响评分:2.7
评分来源:security@wordfence.com
解决方案
- 将Fast Velocity Minify插件更新到最新版本以修复存储型跨站脚本漏洞
- 验证输入清理和输出转义配置
相关参考
- https://github.com/peixotorms/fast-velocity-minify/commit/55a8b53a2ec6d358f8d7ad181170b9d8112e78ab
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3383015%40fast-velocity-minify&new=3383015%40fast-velocity-minify&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/1c02e03a-7f96-4efa-9071-4a76fb21900d?source=cve
CWE关联
CWE-79:在网页生成过程中输入中和不当(跨站脚本)
CAPEC攻击模式
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹识别
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞时间线
2025年10月25日:收到来自security@wordfence.com的新CVE报告,添加了漏洞描述、CVSS v3.1评分、CWE分类和相关参考链接。