概述
CVE-2025-12880是一个影响WordPress的Progress Bar Blocks for Gutenberg插件的安全漏洞,该漏洞在1.0.0及以下版本中存在。
漏洞描述
Progress Bar Blocks for Gutenberg插件由于输入清理和输出转义不足,在所有版本(包括1.0.0)中容易通过SVG文件上传受到存储型跨站脚本攻击。这使得具有作者级别及以上权限的认证攻击者能够在页面中注入任意Web脚本,当用户访问SVG文件时这些脚本将执行。
漏洞信息
- 发布日期:2025年11月11日 04:15
- 最后修改:2025年11月11日 04:15
- 远程利用:是
- 信息来源:security@wordfence.com
受影响产品
目前尚未记录受影响的具体产品信息。
CVSS评分
| 评分 | 版本 | 严重程度 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 5.4 | CVSS 3.1 | 中等 | AV:N/AC:L/PR:L/UI:R/S:C | 2.3 | 2.7 | security@wordfence.com |
| 5.4 | CVSS 3.1 | 中等 | AV:N/AC:L/PR:L/UI:R/S:C | 2.3 | 2.7 | MITRE-CVE |
解决方案
- 立即更新Progress Bar Blocks for Gutenberg插件到已修复SVG上传清理和转义的版本
- 验证SVG上传的清理和输出转义
- 如有可能,限制SVG文件上传
- 应用供应商提供的安全补丁
相关参考
- https://wordpress.org/plugins/progressmatify-blocks/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/3bc48d4d-eeee-47f7-be5e-0d6a43473aa0?source=cve
CWE分类
- CWE-79:在网页生成过程中输入中和不当(跨站脚本)
CAPEC攻击模式
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX指纹识别
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞历史记录
| 日期 | 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年11月11日 | 新增 | 描述 | - | Progress Bar Blocks for Gutenberg插件存在存储型XSS漏洞… |
| 2025年11月11日 | 新增 | CVSS V3.1 | - | AV:N/AC:L/PR:L/UI:R/S:C |
| 2025年11月11日 | 新增 | CWE | - | CWE-79 |
| 2025年11月11日 | 新增 | 参考链接 | - | 插件页面和Wordfence漏洞详情链接 |