| 插件名称 | 简易 SVG 支持 |
|---|---|
| 漏洞类型 | 跨站脚本攻击(XSS) |
| CVE 编号 | CVE-2025-12451 |
| 紧急程度 | 低 |
| CVE 发布日期 | 2026-02-18 |
| 来源网址 | CVE-2025-12451 |
紧急安全建议:通过 SVG 上传在简易 SVG 支持中进行身份验证的(作者)存储型 XSS(≤ 4.0)
作者: 香港安全专家
日期: 2026年2月18日
受影响的插件: 简易 SVG 支持(WordPress)
易受攻击的版本: ≤ 4.0
修复于: 4.1
CVE: CVE-2025-12451
严重性(网站影响): 低(CVSS ~5.9)— 上下文很重要
执行摘要
简易 SVG 支持版本 4.0 及以下未能充分验证和清理上传的 SVG 文件。具有作者(或更高)权限的经过身份验证的用户可以上传包含嵌入脚本、事件处理程序或 javascript: URI 的精心制作的 SVG。当这些 SVG 被存储并在允许脚本执行的上下文中呈现时,可能会发生存储型跨站脚本(XSS)条件。请更新到简易 SVG 支持 4.1 或更高版本作为最终修复。如果无法立即更新,请应用本建议中的缓解措施。.
发生了什么?
该插件接受并存储了没有足够服务器端清理的SVG文件。具有上传媒体权限的认证用户可以在SVG中嵌入可执行构造。当管理员或其他特权用户查看渲染SVG的页面或媒体项时,嵌入的脚本可以在该用户的浏览器中执行,可能在其会话的上下文中执行操作。.
