CVE-2025-12379 - Phlox主题短代码和额外功能插件(版本<= 2.17.13) - 通过现代标题小部件实现认证(贡献者+)存储型跨站脚本漏洞
概述
CVE-2025-12379是一个影响WordPress的Phlox主题插件的存储型跨站脚本漏洞。该漏洞存在于插件2.17.13及以下版本中,允许具有贡献者或更高权限的认证攻击者在网站页面中注入恶意脚本,当用户访问被注入的页面时,脚本将被执行。
漏洞描述
Phlox主题插件的短代码和额外功能存在存储型跨站脚本漏洞,问题源于“tag”和“title_tag”参数组合中的输入过滤不足和输出转义不充分。这使得具有贡献者级别及以上权限的认证攻击者能够在页面中注入任意Web脚本,当用户访问被注入页面时,脚本将被执行。
漏洞详情
基本信息
- 发布日期:2026年1月10日,下午2:15
- 最后修改日期:2026年1月10日,下午2:15
- 远程利用:是
- 漏洞来源:security@wordfence.com
受影响产品
以下产品受到CVE-2025-12379漏洞影响:
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Averta | shortcodes_and_extra_features_for_phlox_theme |
总受影响供应商:1 | 受影响产品:1
CVSS评分
通用漏洞评分系统(CVSS)是评估软件和系统中漏洞严重程度的标准化框架。我们收集并显示每个CVE的各个来源的CVSS评分。
| 评分 | 版本 | 严重级别 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 6.4 | CVSS 3.1 | 中 | 3.1 | 2.7 | security@wordfence.com | |
| 6.4 | CVSS 3.1 | 中 | 3.1 | 2.7 | MITRE-CVE |
漏洞评分详情
CVSS 3.1
- 基础CVSS评分:6.4
攻击向量:网络 攻击复杂度:低 所需权限:低 用户交互:无 范围:已更改 机密性影响:低 完整性影响:低 可用性影响:无
解决方案
- 更新Phlox主题插件以修复存储型跨站脚本漏洞。
- 将Phlox主题插件更新到2.17.14或更高版本。
- 在处理前对所有用户输入进行过滤。
- 在输出前对所有用户生成的内容进行转义。
咨询、解决方案和工具参考
以下是与CVE-2025-12379相关的深入信息、实用解决方案和有价值工具的精选外部链接列表:
CWE - 通用弱点枚举
虽然CVE识别特定的漏洞实例,但CWE分类了可能导致漏洞的常见缺陷或弱点。CVE-2025-12379与以下CWE相关:
CWE-79:在网页生成过程中输入过滤不当(“跨站脚本”)
通用攻击模式枚举和分类(CAPEC)
通用攻击模式枚举和分类(CAPEC)存储攻击模式,这些模式描述了攻击者利用CVE-2025-12379弱点的常见属性和方法。
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹分析
- CAPEC-209:使用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞时间线
| 日期 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2026年1月10日 | 安全@wordfence.com收到新CVE | 添加 | ||
| 2026年1月10日 | 描述 | 添加 | The Shortcodes and extra features for Phlox theme plugin for WordPress is vulnerable to Stored Cross-Site Scripting via a combination of the ’tag’ and ‘title_tag’ parameters in all versions up to, and including, 2.17.13 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. | |
| 2026年1月10日 | CVSS V3.1 | 添加 | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N | |
| 2026年1月10日 | CWE | 添加 | CWE-79 | |
| 2026年1月10日 | 参考 | 添加 | https://plugins.trac.wordpress.org/browser/auxin-elements/tags/2.17.12/includes/elementor/widgets/heading-modern.php#L1194 | |
| 2026年1月10日 | 参考 | 添加 | https://plugins.trac.wordpress.org/changeset/3429103/auxin-elements/trunk/includes/elementor/widgets/heading-modern.php | |
| 2026年1月10日 | 参考 | 添加 | https://www.wordfence.com/threat-intel/vulnerabilities/id/1144e0d9-692e-45a5-ac63-bcdd64a8bd8a?source=cve |