WordPress插件存储型XSS漏洞解析:CVE-2025-13610的技术细节与影响

本文详细分析了WordPress插件RegistrationMagic中存在的存储型跨站脚本(XSS)漏洞CVE-2025-13610。该漏洞源于对“theme”属性的输入清理和输出转义不足,允许具备贡献者及以上权限的攻击者注入恶意脚本,影响所有6.0.6.7及之前版本。

CVE-2025-13610:metagauss RegistrationMagic插件中的CWE-79 网页生成期间输入未正确中和(跨站脚本)漏洞

严重性: 中等 类型: 漏洞 CVE编号: CVE-2025-13610

描述 WordPress的RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login插件,由于其“RM_Forms”短代码中的“theme”属性存在输入清理和输出转义不足的问题,在所有版本(包括及之前的6.0.6.7版)中容易受到存储型跨站脚本攻击。这使得经过身份验证的攻击者(具备贡献者级别及以上的访问权限)能够在页面中注入任意Web脚本,每当用户访问被注入的页面时,这些脚本就会执行。

技术细节

  • 数据版本: 5.2
  • 分配者简称: Wordfence
  • 预留日期: 2025-11-24T15:47:46.024Z
  • Cvss版本: 3.1
  • 状态: 已发布
  • 威胁ID: 69401ef9d9bcdf3f3de12788
  • 添加到数据库: 2025年12月15日,下午2:45:13
  • 最后更新: 2025年12月15日,下午2:46:38
  • 查看次数: 1

发布信息

  • 来源: CVE数据库 V5
  • 发布日期: 2025年12月15日星期一 (2025年12月15日,14:25:10 UTC)
  • 厂商/项目: metagauss
  • 产品: RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次