CVE-2025-13971: CWE-79 在thewellnessway TWW蛋白质计算器中网页生成期间输入净化不当（跨站脚本）

严重性：中 类型：漏洞

CVE-2025-13971

适用于WordPress的TWW蛋白质计算器插件，由于对“Header”设置的输入清理和输出转义不足，在所有版本（包括1.0.24及之前版本）中存在存储型跨站脚本漏洞。这使得拥有管理员级别访问权限的认证攻击者能够在页面中注入任意Web脚本，每当用户访问被注入的页面时，这些脚本就会执行。此漏洞仅影响多站点安装以及已禁用unfiltered_html功能的安装。

AI分析

技术摘要

CVE-2025-13971是一个存储型跨站脚本（XSS）漏洞，归类于CWE-79，存在于WordPress的TWW蛋白质计算器插件中。由于对“Header”设置中用户输入的清理和转义不足，该漏洞存在于所有版本（包括1.0.24及之前版本）。具体来说，在已禁用unfiltered_html功能的WordPress多站点安装中，拥有管理员权限的认证用户可以往页面中注入任意的JavaScript代码。当其他用户访问这些页面时，注入的脚本将在他们的浏览器中执行，这可能允许攻击者窃取会话令牌、操纵页面内容或代表用户执行操作。该漏洞需要高权限（管理员），除了访问受影响的页面外，不需要用户交互。它仅影响已禁用unfiltered_html的WordPress多站点设置，限制了其暴露范围。CVSS 3.1基础评分为4.4（中），反映了需要管理员访问权限以及对机密性和完整性的有限影响，且不影响可用性。目前没有报告补丁或已知漏洞利用，但在部署了该插件并使用多站点配置的环境中，该漏洞会带来风险。

潜在影响

对于欧洲的组织，此漏洞可能导致在其WordPress多站点环境中未经授权的脚本执行，可能危及用户会话、篡改网站或促成进一步的攻击，例如权限提升或数据窃取。尽管利用需要管理员访问权限，但内部威胁或被入侵的管理员账户可能利用此漏洞升级攻击。对机密性和完整性的影响有限但不可忽视，特别是对于那些依赖WordPress多站点来管理多个域或子站点的组织。考虑到WordPress在欧洲的广泛使用，特别是在教育、政府和中小型企业等细分领域，如果安装了该插件，该漏洞可能会影响大量网站。缺乏可用性影响降低了服务中断的风险，但声誉损害和数据泄露仍然是需要关注的问题。根据GDPR有严格数据保护要求的组织必须考虑通过XSS攻击导致个人数据暴露的可能性。

缓解建议

欧洲的组织应采取以下几个具体步骤来缓解此漏洞：

1. 立即审核WordPress多站点安装，以识别是否存在TWW蛋白质计算器插件，并验证正在使用的版本。
2. 仅将管理员权限限制在受信任的人员，以最小化恶意或意外利用的风险。
3. 在可能的情况下，安全地启用unfiltered_html功能以减少攻击面，或者，如果插件更新不可用，则手动为“Header”设置实施严格的输入验证和输出转义。
4. 使用具有XSS检测功能的安全插件或Web应用防火墙（WAF）监控多站点环境中的异常脚本注入或异常管理员活动。
5. 针对潜在的XSS事件制定并测试事件响应计划，包括用户会话失效和取证分析。
6. 与插件供应商或社区联系，获取可用的补丁或更新，并及时应用它们。
7. 对管理员进行有关安全插件配置和多站点环境中存储型XSS风险的教育。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典