CVE-2025-14119: WPBakery页面构建器插件中的CWE-79输入中和不当漏洞(跨站脚本攻击)
严重性:中 类型:漏洞 CVE编号:CVE-2025-14119
WordPress的App Landing Template Blocks for WPBakery (Visual Composer) Page Builder插件存在存储型跨站脚本漏洞。该漏洞位于 atvc_video_play 短代码中,影响所有版本(包括2.0.2及更早版本),原因是未能对用户提供的属性进行充分的输入净化和输出转义。这使得经过身份验证的攻击者(拥有贡献者级别及以上权限)可以在页面中注入任意Web脚本。每当用户访问被注入的页面时,这些脚本就会执行。
AI分析技术摘要
CVE-2025-14119是在WordPress的App Landing Template Blocks for WPBakery (Visual Composer) Page Builder插件中发现的一个存储型跨站脚本漏洞。该缺陷源于网页生成过程中对输入的“中和”处理不当,具体在于 atvc_video_play 短代码。该短代码未能充分净化和转义用户提供的属性,允许拥有贡献者级别或更高权限的认证用户在页面中注入任意JavaScript代码。当其他用户访问这些页面时,恶意脚本将在其浏览器中执行,可能窃取会话令牌、重定向用户或以受害者身份执行未授权操作。
该漏洞影响所有2.0.2及更早版本的插件。其CVSS 3.1向量为 (AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N),表明攻击媒介为网络,攻击复杂度低,需要权限但无需用户交互,并且会影响机密性和完整性,并伴有影响范围变更。尽管目前尚未公开已知的漏洞利用程序,但由于WPBakery和该插件在WordPress网站中普遍使用,此漏洞构成重大风险。该漏洞归类于CWE-79,强调了在将输入嵌入HTML输出之前未能正确净化的缺陷。在报告时缺乏补丁,这要求网站管理员立即关注以防止漏洞被利用。
潜在影响
对于欧洲的组织而言,此漏洞可能导致受信任网站内部执行未授权脚本,从而导致会话劫持、凭据盗窃、网站篡改或恶意软件分发。依赖受影响插件的WordPress网站的组织面临声誉损害和潜在数据泄露的风险。由于贡献者级别的用户可以利用此缺陷,内部威胁或已泄露的低权限账户可能使攻击升级。CVSS向量中的“影响范围变更”意味着该漏洞可能影响最初受感染组件之外的资源,可能波及网站的其他部分或连接的系统。
鉴于WordPress和WPBakery在欧洲(尤其是中小企业和数字机构中)的广泛使用,此威胁可能扰乱业务运营并损害客户信任。此外,如果通过此类攻击损害了个人数据的机密性,可能会影响GDPR合规性。
缓解建议
- 密切关注供应商的公告,并在官方补丁发布后立即应用。
- 在补丁可用之前,仅限受信任用户拥有贡献者级别访问权限,并审查用户角色以最小化权限暴露。
- 实施Web应用防火墙规则,以检测和阻止针对
atvc_video_play短代码参数的恶意负载。 - 如果可行,对短代码属性进行手动代码审查或应用自定义的输入净化和输出转义。
- 定期审计WordPress插件,并移除未使用或过时的组件以减少攻击面。
- 教育内容贡献者安全的输入实践,并监控不寻常的页面内容变更。
- 使用内容安全策略标头来限制注入脚本的影响。
- 维护全面的日志记录和告警机制,以检测与页面内容修改相关的可疑活动。
受影响国家
德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典
来源: CVE Database V5 发布日期: 2025年12月12日 星期五
技术细节
- 数据版本: 5.2
- 分配者简称: Wordfence
- 保留日期: 2025-12-05T15:30:35.384Z
- CVSS版本: 3.1
- 状态: 已发布
- 威胁ID: 693b9189650da22753edbd8b
- 添加到数据库: 2025/12/12, 3:52:41 AM
- 最后丰富时间: 2025/12/12, 4:06:29 AM
- 最后更新时间: 2025/12/12, 6:27:00 AM
- 浏览量: 4