CVE-2025-13367:CWE-79 网页生成期间输入中和不当(跨站脚本)漏洞 - 涉及wpeverest用户注册与会员插件
严重性:中等
类型:漏洞
CVE编号:CVE-2025-13367
WordPress 的“用户注册与会员 – 自定义注册表单构建器、自定义登录表单、用户资料、内容限制与会员插件”在 4.4.6 及之前的所有版本中,由于对多个短代码属性的输入清理和输出转义不足,容易受到存储型跨站脚本攻击。这使得拥有贡献者级别及以上权限的认证攻击者能够在页面中注入任意 Web 脚本,当用户访问被注入的页面时,这些脚本将被执行。
来源:CVE Database V5
发布日期:2025年12月15日 星期一
供应商/项目:wpeverest
产品:User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership Plugin
描述
WordPress 的“用户注册与会员 – 自定义注册表单构建器、自定义登录表单、用户资料、内容限制与会员插件”在 4.4.6 及之前的所有版本中,由于对多个短代码属性的输入清理和输出转义不足,容易受到存储型跨站脚本攻击。这使得拥有贡献者级别及以上权限的认证攻击者能够在页面中注入任意 Web 脚本,当用户访问被注入的页面时,这些脚本将被执行。
技术细节
- 数据版本:5.2
- 分配者简称:Wordfence
- 发布日期:2025年11月18日 17:27:04.615Z
- Cvss 版本:3.1
- 状态:已发布
- 威胁 ID:69401ef9d9bcdf3f3de1277e
- 添加到数据库时间:2025年12月15日 下午2:45:13
- 最后更新时间:2025年12月15日 下午2:46:39
- 查看次数:1
相关威胁
- CVE-2025-14383:CWE-89 SQL命令中使用的特殊元素中和不当(SQL注入)漏洞 - 涉及wpdevelop Booking Calendar -高危- 2025年12月15日 星期一
- CVE-2025-14156:CWE-20 输入验证不当漏洞 - 涉及ays-pro Fox LMS – WordPress LMS插件 -严重- 2025年12月15日 星期一
- CVE-2025-14003:CWE-862 授权缺失漏洞 - 涉及wpchill图片画廊 – 照片网格和视频画廊 -中等- 2025年12月15日 星期一
- CVE-2025-13950:CWE-862 授权缺失漏洞 - 涉及onesignal OneSignal – 网页推送通知 -中等- 2025年12月15日 星期一
- CVE-2025-13728:CWE-79 网页生成期间输入中和不当(跨站脚本)漏洞 - 涉及techjewel FluentAuth – WordPress的终极授权与安全插件 -中等- 2025年12月15日 星期一
外部链接
- NVD 数据库
- MITRE CVE
- 参考链接 1
- 参考链接 2
- 参考链接 3
aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7CrSzM6Bwp+ed2Vd8Y/2pj9jminWk09oTb7bsTP3Osh9LU4SRt2hgesI2DcFppZA9hcBV15cmxjvhp8oHC5zkti
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
