WordPress倒计时插件存储型XSS漏洞解析(CVE-2025-14555)

本文详细分析了WordPress插件Widget Countdown(版本≤2.7.7)中存在的一个经过身份验证的存储型跨站脚本漏洞。攻击者利用插件短代码属性输入过滤不足,可注入恶意脚本,影响网站安全。

CVE-2025-14555 - Countdown Timer - Widget Countdown <= 2.7.7 - 通过短代码实现的已认证(贡献者及以上权限)存储型跨站脚本漏洞

概述

CVE ID: CVE-2025-14555 产品: Countdown Timer – Widget Countdown CVSS 3.1 分数: 6.4 (中危)

漏洞描述

WordPress的Countdown Timer – Widget Countdown插件在所有2.7.7及之前的版本中存在存储型跨站脚本(Stored Cross-Site Scripting)漏洞。该漏洞源于对插件wpdevart_countdown短码的用户提供属性输入净化不足和输出转义不充分。这使得拥有贡献者(Contributor)及以上权限的经过身份验证的攻击者,可以在页面中注入任意Web脚本。当用户访问被注入的页面时,这些脚本将被执行。

发布时间: 2026年1月10日 13:15 最后修改时间: 2026年1月10日 13:15 远程利用: 是 信息来源: security@wordfence.com

受影响的产品

目前尚未记录到具体的受影响产品信息。 总计受影响厂商: 0 | 产品数量: 0

CVSS 分数

分数 版本 严重等级 向量 可利用性分数 影响分数 来源
6.4 CVSS 3.1 中危 3.1 2.7 2.7 security@wordfence.com

解决方案

  • 将 Countdown Timer – Widget Countdown 插件更新到已修复输入净化和输出转义问题的版本。
  • 为版本2.7.7或更高版本应用供应商补丁。
  • 移除或净化 wpdevart_countdown 短代码。
  • 验证短代码属性的用户输入。

相关公告、解决方案和工具参考链接

URL 资源
https://plugins.trac.wordpress.org/browser/widget-countdown/trunk/includes/front_end.php#L167 插件代码链接
https://plugins.trac.wordpress.org/browser/widget-countdown/trunk/includes/front_end.php#L30 插件代码链接
https://plugins.trac.wordpress.org/browser/widget-countdown/trunk/includes/front_end.php#L48 插件代码链接
https://plugins.trac.wordpress.org/changeset/3425959/ 变更集链接
https://www.wordfence.com/threat-intel/vulnerabilities/id/ee84c720-7997-4c09-a2f9-5e1a28bd1100?source=cve Wordfence威胁情报

CWE - 常见弱点枚举

CVE-2025-14555 与以下 CWE 相关联:

  • CWE-79: 在网页生成过程中对输入的不当中和(跨站脚本)

常见攻击模式枚举和分类 (CAPEC)

与利用 CVE-2025-14555 弱点相关的攻击模式:

  • CAPEC-63: 跨站脚本 (XSS)
  • CAPEC-85: AJAX 足迹探查
  • CAPEC-209: 利用 MIME 类型不匹配进行 XSS
  • CAPEC-588: 基于 DOM 的 XSS
  • CAPEC-591: 反射型 XSS
  • CAPEC-592: 存储型 XSS

漏洞时间线历史记录

新 CVE 接收

操作 类型 旧值 新值
添加 描述 The Countdown Timer – Widget Countdown plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin’s ‘wpdevart_countdown’ shortcode in all versions up to, and including, 2.7.7 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
添加 CVSS V3.1 AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
添加 CWE CWE-79
添加 参考 https://plugins.trac.wordpress.org/browser/widget-countdown/trunk/includes/front_end.php#L167
添加 参考 https://plugins.trac.wordpress.org/browser/widget-countdown/trunk/includes/front_end.php#L30
添加 参考 https://plugins.trac.wordpress.org/browser/widget-countdown/trunk/includes/front_end.php#L48
添加 参考 https://plugins.trac.wordpress.org/changeset/3425959/
添加 参考 https://www.wordfence.com/threat-intel/vulnerabilities/id/ee84c720-7997-4c09-a2f9-5e1a28bd1100?source=cve

漏洞评分详情 (CVSS 3.1)

基础 CVSS 分数: 6.4

度量项
攻击向量 网络
攻击复杂度
所需权限
用户交互
作用范围 已更改
机密性影响
完整性影响
可用性影响
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次