https://blog.qife122.com/tags/cve-2025-13840/ Recent content in CVE-2025-13840 on 办公AI智能小助手 Hugo zh-cn qife Mon, 05 Jan 2026 06:58:36 +0800 https://blog.qife122.com/p/wordpress-bukazu-%E6%90%9C%E7%B4%A2%E5%B0%8F%E9%83%A8%E4%BB%B6%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ Mon, 05 Jan 2026 06:58:36 +0800 https://blog.qife122.com/p/wordpress-bukazu-%E6%90%9C%E7%B4%A2%E5%B0%8F%E9%83%A8%E4%BB%B6%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ <h3 id="cve-2025-13840-bobvanoorschot-bukazu-search-widget-中-cwe-79-网页生成期间输入净化不当导致的跨站脚本漏洞">CVE-2025-13840: bobvanoorschot BUKAZU Search widget 中 CWE-79 网页生成期间输入净化不当导致的跨站脚本漏洞</h3> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2025-13840</strong> 由于对用户提供的属性输入清理和输出转义不足，WordPress 的 BUKAZU Search widget 插件在所有版本（包括 3.3.2 及更早版本）中，通过 &ldquo;bukazu_search&rdquo; 短代码的 &ldquo;shortcode&rdquo; 参数，容易受到存储型跨站脚本攻击。这使得拥有贡献者级别及以上权限的经过身份验证的攻击者能够在页面中注入任意 Web 脚本，每当用户访问被注入的页面时，这些脚本都会执行。</p>