CVE-2025-14119: CWE-79 WPBakery插件中的输入处理不当漏洞(跨站脚本)
严重性:中等 类型:漏洞
CVE-2025-14119
用于 WordPress 的 WPBakery(Visual Composer)页面构建器插件“App Landing Template Blocks”存在存储型跨站脚本漏洞。该漏洞源于 atvc_video_play 短代码对用户提供的属性输入清理和输出转义不足,影响到包括 2.0.2 在内的所有版本。这使得拥有投稿者及以上权限的认证攻击者能够在页面中注入任意Web脚本,当用户访问被注入的页面时,脚本就会执行。
AI分析
技术摘要
CVE-2025-14119 是在用于 WordPress 的 WPBakery(Visual Composer)页面构建器插件“App Landing Template Blocks”中发现的一个存储型跨站脚本漏洞。该缺陷存在于网页生成过程中对输入的处理不当,特别是在 atvc_video_play 短代码中。此短代码未能充分清理和转义用户提供的属性,允许拥有投稿者或更高权限的认证用户向页面中注入任意 JavaScript 代码。当其他用户访问这些页面时,恶意脚本将在其浏览器中执行,可能窃取会话令牌、重定向用户或以受害者身份执行未经授权的操作。该漏洞影响包括 2.0.2 在内的所有插件版本。CVSS 3.1 向量(AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N)表明攻击向量为网络,攻击复杂度低,需要权限但无需用户交互,并通过范围变更影响机密性和完整性。尽管目前没有已知的公开利用方式,但由于 WPBakery 和该插件在 WordPress 站点中的普遍使用,此漏洞构成了重大风险。该漏洞被归类为 CWE-79,强调了在将输入嵌入 HTML 输出前未能正确清理输入的问题。在报告时缺乏补丁,需要站点管理员立即关注以防止被利用。
潜在影响
对于欧洲组织,此漏洞可能导致在受信任的网站内执行未经授权的脚本,从而导致会话劫持、凭据窃取、网站篡改或恶意软件分发。依赖受此漏洞影响插件的 WordPress 站点的组织面临声誉损害和潜在数据泄露的风险。由于投稿者级别的用户可以利用此缺陷,内部威胁或权限较低的账户被入侵可能导致攻击升级。CVSS 向量中的范围变更意味着漏洞可能影响最初受感染组件之外的资源,可能波及网站的其他部分或连接的系统。鉴于 WordPress 和 WPBakery 在欧洲的广泛使用,特别是在中小企业和数字机构中,此威胁可能破坏业务运营和客户信任。此外,如果通过此类攻击损害了个人数据的机密性,可能会影响对 GDPR 的合规性。
缓解建议
- 密切关注供应商公告,一旦发布官方补丁立即应用。
- 在补丁可用之前,仅将投稿者级别访问权限限制给受信任的用户,并审查用户角色以最小化权限暴露。
- 实施 Web 应用程序防火墙规则,以检测和阻止针对
atvc_video_play短代码参数的恶意负载。 - 如果可行,对短代码属性进行手动代码审查或应用自定义的输入清理和输出转义。
- 定期审计 WordPress 插件,移除未使用或过时的组件以减少攻击面。
- 教育内容贡献者关于安全输入实践,并监控异常的页面内容更改。
- 采用内容安全策略标头来限制注入脚本的影响。
- 保持全面的日志记录和警报,以检测与页面内容修改相关的可疑活动。
受影响国家
德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典
技术详情
数据版本: 5.2 分配者简称: Wordfence 发布日期: 2025年12月5日 15:30:35.384Z Cvss 版本: 3.1 状态: 已发布 威胁 ID: 693b9189650da22753edbd8b 添加到数据库: 2025年12月12日 3:52:41 最后丰富时间: 2025年12月12日 4:06:29 最后更新时间: 2025年12月12日 7:50:53 浏览次数: 5