CVE-2025-13971:CWE-79 网页生成期间输入中和不当(‘跨站脚本攻击’)于 thewellnessway TWW Protein Calculator 插件
严重性: 中 类型: 漏洞 CVE: CVE-2025-13971
WordPress 的 TWW Protein Calculator 插件在所有版本(包括 1.0.24 及更早版本)中,由于对“Header”设置的输入清理和输出转义不足,存在存储型跨站脚本攻击漏洞。这使得拥有管理员级别访问权限的经过身份验证的攻击者能够向页面中注入任意 Web 脚本,每当用户访问被注入的页面时,这些脚本就会执行。此漏洞仅影响多站点安装以及禁用了 unfiltered_html 功能的安装。
技术摘要
CVE-2025-13971 是一个存储型跨站脚本漏洞,归类于 CWE-79,存在于 WordPress 的 TWW Protein Calculator 插件中。该漏洞存在于所有版本(包括 1.0.24)中,原因是对“Header”设置中的用户输入清理和转义不足。具体而言,在禁用了 unfiltered_html 功能的多站点 WordPress 安装中,拥有管理员权限的经过身份验证的用户可以向页面中注入任意 JavaScript 代码。当其他用户访问这些页面时,注入的脚本会在他们的浏览器中执行,可能允许攻击者窃取会话令牌、操纵页面内容或以用户身份执行操作。该漏洞需要高权限(管理员),并且除了访问受影响的页面外,不需要用户交互。它仅影响禁用了 unfiltered_html 的多站点 WordPress 设置,限制了其暴露范围。CVSS 3.1 基础评分为 4.4(中),反映了需要管理员访问权限以及对机密性和完整性的有限影响,且不影响可用性。目前没有报告补丁或已知的利用方式,但在部署了该插件并使用多站点配置的环境中,该漏洞构成风险。
潜在影响
对于欧洲组织而言,此漏洞可能导致在其 WordPress 多站点环境中未经授权执行脚本,可能危及用户会话、篡改网站或促成进一步的攻击,例如权限提升或数据窃取。虽然利用需要管理员访问权限,但内部威胁或受感染的管理员账户可能利用此漏洞升级攻击。对机密性和完整性的影响有限但不可忽视,特别是对于依赖 WordPress 多站点来管理多个域或子站点的组织。鉴于 WordPress 在欧洲的广泛使用,特别是在教育、政府和中小企业等领域,如果安装了该插件,该漏洞可能会影响大量网站。缺乏可用性影响降低了服务中断的风险,但声誉损害和数据泄露仍然是令人担忧的问题。根据 GDPR 对数据保护有严格要求的组织必须考虑通过 XSS 攻击暴露个人数据的可能性。
缓解建议
欧洲组织应采取以下几项具体步骤来缓解此漏洞:
- 立即审核 WordPress 多站点安装,以识别 TWW Protein Calculator 插件的存在并验证正在使用的版本。
- 仅将管理员权限限制给受信任的人员,以最小化恶意或意外利用的风险。
- 在可能的情况下,安全地启用
unfiltered_html功能以减少攻击面;或者,如果插件更新不可用,则手动为“Header”设置实施严格的输入验证和输出转义。 - 使用具有 XSS 检测功能的安全插件或 Web 应用程序防火墙监控多站点环境中的异常脚本注入或异常管理员活动。
- 针对潜在的 XSS 事件制定并测试事件响应计划,包括用户会话失效和取证分析。
- 与插件供应商或社区联系以获取补丁或更新,并在其可用后立即应用。
- 教育管理员了解安全插件配置以及多站点环境中存储型 XSS 的风险。
受影响国家
德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典
技术详情
数据版本: 5.2 分配者简称: Wordfence 保留日期: 2025-12-03T15:55:16.404Z Cvss 版本: 3.1 状态: 已发布 威胁 ID: 693b9187650da22753edbd36 添加到数据库: 2025年12月12日,凌晨3:52:39 最后丰富信息: 2025年12月12日,凌晨4:14:54 最后更新: 2025年12月12日,上午6:27:10 查看次数: 3