| 插件名称 | Surbma | MiniCRM 短代码 |
|---|---|
| 漏洞类型 | 跨站脚本攻击(XSS) |
| CVE 编号 | CVE-2025-11800 |
| 紧急程度 | 低 |
| CVE 发布日期 | 2025-11-20 |
| 来源网址 | CVE-2025-11800 |
严重:在“Surbma | MiniCRM 短代码”(≤ 2.0)中存在存储型 XSS — 网站所有者需要知道的事项
摘要
影响 WordPress 插件“Surbma | MiniCRM 短代码”(CVE‑2025‑11800)版本 ≤ 2.0 的存储型跨站脚本(XSS)漏洞已被公开披露。该缺陷允许具有贡献者角色的经过身份验证的用户将持久的 JavaScript 注入插件渲染的内容中。由于这是存储型 XSS,恶意负载会保存在网站上,并在任何查看受影响页面的用户的浏览器中执行,包括管理员和编辑。CVSS 分数为 6.5(中等),但实际影响因网站使用和访客而异。.
本公告:
- 用通俗语言解释漏洞和利用场景。.
- 列出网站所有者应采取的紧急措施。.
- 提供技术检测和缓解指导(与供应商无关)。.
- 为插件开发者和管理员提供安全编码最佳实践。.
发生了什么? — 通俗英语
该插件通过短代码或类似输出将经过身份验证的用户(贡献者角色及以上)提供的内容呈现到页面中。漏洞发生的原因是某些用户提供的字段作为HTML输出时没有经过适当的清理或转义。贡献者可以提交标记(包括
