WordPress MailerLite插件存储型XSS漏洞详解 (CVE-2025-13993)

本文详细分析了MailerLite – Signup forms官方WordPress插件中存在的存储型跨站脚本漏洞。该漏洞编号为CVE-2025-13993,源于对`form_description`和`success_message`参数输入过滤和输出转义不足,允许具有管理员权限的攻击者注入恶意脚本。

CVE-2025-13993: MailerLite WordPress插件中的跨站脚本漏洞

严重性: 中危 类型: 漏洞

漏洞概述

CVE-2025-13993 是 MailerLite – Signup forms (official) WordPress 插件中的一个安全漏洞。该漏洞被归类为 CWE-79:网页生成期间输入中和不当(跨站脚本)。

漏洞描述

MailerLite – Signup forms (official) WordPress 插件在 1.7.16 及之前版本中,由于对 form_descriptionsuccess_message 参数的输入清理和输出转义不足,存在存储型跨站脚本漏洞。这使得经过身份验证的攻击者(拥有管理员或更高权限)能够在页面中注入任意 Web 脚本,当用户访问被注入的页面时,这些脚本将会执行。

技术细节

  • 数据版本: 5.2
  • 分配者简称: Wordfence
  • 预留日期: 2025-12-03T18:41:30.824Z
  • CVSS 版本: 3.1
  • 状态: 已发布
  • 来源: CVE Database V5
  • 发布日期: 2025年12月12日 星期五 (2025/12/12, 09:20:29 UTC)
  • 厂商/项目: mailerlite
  • 产品: MailerLite – Signup forms (official)

威胁 ID: 693be422406b3dd4e02223d0 添加到数据库时间: 2025/12/12, 上午 9:45:06 最后更新时间: 2025/12/12, 上午 9:45:50 浏览量: 1

相关威胁

  • CVE-2025-40829: Siemens Simcenter Femap 中未初始化资源的使用 (CWE-908) - 高危漏洞
  • CVE-2025-58137: Apache Fineract 中通过用户控制密钥导致的授权绕过 (CWE-639) - 未知严重性
  • CVE-2025-58130: Apache Fineract 中凭据保护不足 (CWE-522) - 未知严重性
  • CVE-2025-26866: Apache HugeGraph-Server 中不可信数据的反序列化 (CWE-502) - 未知严重性
  • CVE-2025-23408: Apache Fineract 中弱密码要求 (CWE-521) - 高危漏洞

外部链接

  • NVD 数据库
  • MITRE CVE
  • (参考链接1-6)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次