概述

CVE-2025-13387是一个存在于Kadence WooCommerce邮件设计器WordPress插件中的安全漏洞。该插件在版本1.5.17及之前，由于对“客户名称”字段的输入清理和输出转义不足，存在存储型跨站脚本（Stored Cross-Site Scripting）漏洞。这使得未经身份验证的攻击者能够注入任意的Web脚本，当用户访问被注入的页面时，这些脚本便会执行。

严重性评级： CVSS 3.1 评分 7.2（高危）

远程可利用： 是

漏洞详情

发布日期： 2025年12月2日 最后修改日期： 2025年12月2日 漏洞来源： security@wordfence.com

根本原因： 该漏洞源于插件在处理“客户名称”数据时，未能充分进行输入净化和输出转义。具体而言，属于“CWE-79：网页生成期间输入的不当中和（跨站脚本）”这一通用弱点。

CVSS 评分详情 (版本 3.1)

• 基础评分： 7.2（高危）
• 攻击向量： 网络
• 攻击复杂度： 低
• 所需权限： 无
• 用户交互： 无
• 影响范围： 已改变
• 机密性影响： 低
• 完整性影响： 低
• 可用性影响： 无
• 可利用性分数： 3.9
• 影响分数： 2.7

解决方案

1. 立即更新插件：将Kadence WooCommerce邮件设计器插件升级到版本1.5.18或更高版本。这是修复此漏洞的最直接方法。
2. 严格清理用户输入：对所有用户可控的输入字段实施严格的输入验证和清理。
3. 正确转义输出：在将用户数据输出到网页前，确保进行适当的HTML实体转义，以防止脚本被浏览器执行。

受影响产品

截至目前，cvefeed.io的记录中尚未列出具体的受影响产品版本信息。

• 受影响供应商总数： 0
• 产品数量： 0

相关资源与工具

• 插件更新日志：https://plugins.trac.wordpress.org/changeset/3399955/kadence-woocommerce-email-designer
• Wordfence威胁情报：https://www.wordfence.com/threat-intel/vulnerabilities/id/1e0cf512-f676-4f47-abaa-5198998376b7?source=cve

关联的CWE与CAPEC攻击模式

相关CWE：

• CWE-79: 网页生成期间输入的不当中和（跨站脚本）

相关CAPEC攻击模式：

• CAPEC-63: 跨站脚本
• CAPEC-85: AJAX指纹识别
• CAPEC-209: 利用MIME类型不匹配的XSS
• CAPEC-588: 基于DOM的XSS
• CAPEC-591: 反射型XSS
• CAPEC-592: 存储型XSS

漏洞时间线

• 2025年12月2日：收到来自 security@wordfence.com 的新CVE报告。此次更新添加了漏洞描述、CVSS v3.1向量、关联的CWE-79以及相关参考链接。

公开的漏洞利用代码（PoC）与新闻

平台会持续扫描GitHub仓库以发现新的概念验证利用代码，并监控提及此漏洞的新闻文章。由于性能考虑，结果通常限制显示前15个仓库和前20篇新闻。