WordPress用户注册与会员插件跨站脚本漏洞深度解析

CVE-2025-13367：CWE-79 网页生成期间输入中和不当（跨站脚本）漏洞 - 涉及wpeverest用户注册与会员插件

严重性： 中等

类型： 漏洞

CVE编号： CVE-2025-13367

WordPress 的“用户注册与会员 – 自定义注册表单构建器、自定义登录表单、用户资料、内容限制与会员插件”在 4.4.6 及之前的所有版本中，由于对多个短代码属性的输入清理和输出转义不足，容易受到存储型跨站脚本攻击。这使得拥有贡献者级别及以上权限的认证攻击者能够在页面中注入任意 Web 脚本，当用户访问被注入的页面时，这些脚本将被执行。

来源： CVE Database V5

发布日期： 2025年12月15日 星期一

供应商/项目： wpeverest

产品： User Registration & Membership – Custom Registration Form Builder, Custom Login Form, User Profile, Content Restriction & Membership Plugin

描述

WordPress 的“用户注册与会员 – 自定义注册表单构建器、自定义登录表单、用户资料、内容限制与会员插件”在 4.4.6 及之前的所有版本中，由于对多个短代码属性的输入清理和输出转义不足，容易受到存储型跨站脚本攻击。这使得拥有贡献者级别及以上权限的认证攻击者能够在页面中注入任意 Web 脚本，当用户访问被注入的页面时，这些脚本将被执行。

技术细节

• 数据版本： 5.2
• 分配者简称： Wordfence
• 发布日期： 2025年11月18日 17:27:04.615Z
• Cvss 版本： 3.1
• 状态： 已发布
• 威胁 ID： 69401ef9d9bcdf3f3de1277e
• 添加到数据库时间： 2025年12月15日 下午2:45:13
• 最后更新时间： 2025年12月15日 下午2:46:39
• 查看次数： 1

相关威胁

• CVE-2025-14383： CWE-89 SQL命令中使用的特殊元素中和不当（SQL注入）漏洞 - 涉及wpdevelop Booking Calendar - 高危 - 2025年12月15日 星期一
• CVE-2025-14156： CWE-20 输入验证不当漏洞 - 涉及ays-pro Fox LMS – WordPress LMS插件 - 严重 - 2025年12月15日 星期一
• CVE-2025-14003： CWE-862 授权缺失漏洞 - 涉及wpchill图片画廊 – 照片网格和视频画廊 - 中等 - 2025年12月15日 星期一
• CVE-2025-13950： CWE-862 授权缺失漏洞 - 涉及onesignal OneSignal – 网页推送通知 - 中等 - 2025年12月15日 星期一
• CVE-2025-13728： CWE-79 网页生成期间输入中和不当（跨站脚本）漏洞 - 涉及techjewel FluentAuth – WordPress的终极授权与安全插件 - 中等 - 2025年12月15日 星期一

外部链接

• NVD 数据库
• MITRE CVE
• 参考链接 1
• 参考链接 2
• 参考链接 3 aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7CrSzM6Bwp+ed2Vd8Y/2pj9jminWk09oTb7bsTP3Osh9LU4SRt2hgesI2DcFppZA9hcBV15cmxjvhp8oHC5zkti