WordPress CC Child Pages插件存储型XSS漏洞(CVE-2025-13608)技术分析

本文详细分析了WordPress CC Child Pages插件中存在的存储型跨站脚本漏洞(CVE-2025-13608)。该漏洞源于插件对用户输入的四个属性缺乏充分的过滤和输出转义,导致贡献者及以上权限的攻击者可在页面中注入恶意脚本。

CVE-2025-13608: CWE-79 网页生成期间输入处理不当(跨站脚本)漏洞分析

严重等级:中等 类型:漏洞

漏洞概述

CVE-2025-13608是WordPress CC Child Pages插件中存在的存储型跨站脚本(XSS)漏洞。该漏洞影响所有2.0.0及更早版本。

技术细节

  • CVE编号:CVE-2025-13608
  • CWE分类:CWE-79 - 网页生成期间输入处理不当(跨站脚本)
  • 受影响产品:caterhamcomputing开发的CC Child Pages插件

漏洞成因

该漏洞源于插件show_child_pages函数中对四个用户提供属性缺乏充分的输入清理和输出转义:

  1. use_custom_link
  2. use_custom_link_target
  3. use_custom_thumbs
  4. use_custom_excerpt

攻击影响

经过身份验证的攻击者(需要贡献者及以上权限)可以通过child_pages短代码在页面中注入任意Web脚本。当用户访问被注入的页面时,这些恶意脚本将会执行。

技术规格

  • 数据版本:5.2
  • 分配者简称:Wordfence
  • CVSS版本:3.1
  • 状态:已发布
  • 发布日期:2025年12月15日
  • 威胁ID:69401ef9d9bcdf3f3de12784

相关威胁

  1. CVE-2025-14383:Booking Calendar插件SQL注入漏洞(高危)
  2. CVE-2025-14156:Fox LMS插件输入验证不当漏洞(严重)
  3. CVE-2025-14003:Image Gallery插件授权缺失漏洞(中等)
  4. CVE-2025-13950:OneSignal插件授权缺失漏洞(中等)
  5. CVE-2025-13728:FluentAuth插件XSS漏洞(中等)

外部参考链接

  • NVD数据库
  • MITRE CVE
  • 相关技术参考文档

来源:CVE数据库V5版,发布日期:2025年12月15日

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次