WordPress插件LJUsers中的XSS漏洞CVE-2025-13839技术分析

本文详细分析了CVE-2025-13839漏洞的技术细节。该漏洞源于WordPress的LJUsers插件(1.2.0及之前版本)对‘ljuser’短代码的‘name’参数输入净化不足,导致具有投稿者及以上权限的攻击者可实施存储型跨站脚本攻击。

CVE-2025-13839: CWE-79 在jenyay LJUsers插件中网页生成期间输入中和不当(跨站脚本)

严重性: 中危 类型: 漏洞 CVE编号: CVE-2025-13839

描述

WordPress的LJUsers插件在1.2.0及之前的所有版本中,由于对用户提供属性的输入净化和输出转义不足,存在通过‘ljuser’短代码的‘name’参数触发的存储型跨站脚本漏洞。这使得经过身份验证的攻击者(拥有投稿者及以上权限)能够在页面中注入任意Web脚本。每当用户访问被注入的页面时,这些脚本便会执行。

技术详情

  • 数据版本: 5.2
  • 分配者简称: Wordfence
  • 预留日期: 2025-12-01T18:46:14.653Z
  • Cvss 版本: 3.1
  • 状态: 已发布
  • 来源: CVE数据库 V5
  • 发布日期: 2025年12月12日星期五 (12/12/2025, 02:20:56 UTC)
  • 厂商/项目: jenyay
  • 产品: LJUsers

威胁信息

  • 威胁ID: 693b7fd3650da22753e7b189
  • 添加到数据库: 2025年12月12日,上午2:37:07
  • 最后更新: 2025年12月12日,上午2:37:18
  • 查看次数: 1

相关威胁

  • CVE-2025-13886: cvedovini LT Unleashed中的CWE-98 PHP程序包含/引用语句的文件名控制不当(PHP远程文件包含) - 高危 - 2025年12月12日星期五
  • CVE-2025-13665: Altera Quartus Prime Standard中的CWE-427 未受控的搜索路径元素 - 中危 - 2025年12月12日星期五
  • CVE-2025-10451: Insyde Software InsydeH2O中的CWE-787: 越界写入 - 高危 - 2025年12月12日星期五
  • CVE-2025-67779: Meta react-server-dom-parcel中的 (CWE-502) 不可信数据反序列化, (CWE-400) 未受控的资源消耗 - 高危 - 2025年12月11日星期四
  • CVE-2025-67780: SpaceX Starlink Dish中的CWE-306 关键功能缺失身份验证 - 中危 - 2025年12月11日星期四

外部链接

  • NVD数据库
  • MITRE CVE
  • Reference 1
  • Reference 2
  • Reference 3
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次