| 插件名稱 | Surbma | MiniCRM 短代碼 |
|---|---|
| 漏洞類型 | 跨站腳本攻擊 (XSS) |
| CVE 編號 | CVE-2025-11800 |
| 緊急程度 | 低 |
| CVE 發布日期 | 2025-11-20 |
| 來源 URL | CVE-2025-11800 |
嚴重:在 “Surbma | MiniCRM 短代碼” (≤ 2.0) 中的儲存型 XSS — 網站擁有者需要知道的事項
摘要
一個影響 WordPress 插件 “Surbma | MiniCRM 短代碼” (CVE‑2025‑11800) 版本 ≤ 2.0 的儲存型跨站腳本 (XSS) 漏洞已被公開披露。該缺陷允許具有貢獻者角色的經過身份驗證的用戶將持久的 JavaScript 注入插件渲染的內容中。由於這是儲存型 XSS,惡意有效載荷會保存在網站上,並在任何查看受影響頁面的用戶的瀏覽器中執行 — 包括管理員和編輯。CVSS 分數為 6.5(中等),但實際影響因網站使用情況和訪客而異。.
本公告:
- 用通俗易懂的語言解釋漏洞和利用場景。.
- 列出網站擁有者應立即採取的行動。.
- 提供技術檢測和緩解指導(供應商中立)。.
- 為插件開發者和管理員提供安全編碼最佳實踐。.
發生了什麼? — 通俗英語
此插件通過短代碼或類似輸出將經過身份驗證的用戶(貢獻者角色及以上)提供的內容渲染到頁面中。漏洞發生的原因是某些用戶提供的字段以 HTML 格式輸出,未經適當的清理或轉義。貢獻者可以提交標記(包括
