一、 漏洞 CVE-2025-11926 基础信息
漏洞信息
                                        # 相关文章插件 <=1.12 管理员存储型XSS漏洞

## 概述

Related Posts Lite 是一个 WordPress 插件,其所有版本(包括 1.12)存在存储型跨站脚本(XSS)漏洞。

## 影响版本

- 插件版本:所有版本至 1.12(含)

## 细节

该漏洞源于插件在管理设置中对输入内容缺乏足够的过滤与转义处理。

## 影响

- 攻击类型:存储型 XSS  
- 攻击前提:攻击者需具备管理员或以上权限  
- 执行条件:仅对启用了多站点(multi-site)功能,或禁用了 `unfiltered_html` 的安装环境有效  
- 危害:攻击者可向页面注入任意脚本,当用户访问被注入页面时,脚本将在用户浏览器中执行,可能导致会话劫持、数据窃取等恶意行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Related Posts Lite <= 1.12 - Authenticated (Admin+) Stored Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Related Posts Lite plugin for WordPress is vulnerable to Stored Cross-Site Scripting via admin settings in all versions up to, and including, 1.12 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Related Posts Lite 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Related Posts Lite 1.12及之前版本存在跨站脚本漏洞,该漏洞源于输入清理和输出转义不足,可能导致存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11926 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-11926 的情报信息

  • 标题: Related Posts Lite <= 1.12 - Authenticated (Admin+) Stored Cross-Site Scripting -- 🔗来源链接

    标签:

    神龙速读
    Related Posts Lite <= 1.12 - Authenticated (Admin+) Stored Cross-Site Scripting

  • 标题: 1.12 in related-posts-lite/tags – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    1.12 in related-posts-lite/tags – WordPress Plugin Repository

  • 标题: Related Posts Lite – WordPress plugin | WordPress.org -- 🔗来源链接

    标签:

    神龙速读
    Related Posts Lite – WordPress plugin | WordPress.org

  • 标题: GitHub - prabhatverma47/Wordpress-Related-Posts-Lite-plugin-XSS-PoC: Proof of Concept (PoC) for Stored Cross-Site Scripting (XSS) vulnerability in the WordPress plugin Related Posts Lite (slug: `related-posts-lite`). -- 🔗来源链接

    标签:

    神龙速读
    GitHub - prabhatverma47/Wordpress-Related-Posts-Lite-plugin-XSS-PoC: Proof of Concept (PoC) for Stored Cross-Site Scripting (XSS) vulnerability in the WordPress plugin Related Posts Lite (slug: `related-posts-lite`).
  • https://nvd.nist.gov/vuln/detail/CVE-2025-11926
四、漏洞 CVE-2025-11926 的评论

暂无评论

发表评论