一、 漏洞 CVE-2025-5699 基础信息
漏洞信息
# Developer Formatter小于等于2015.0.2.1版本 - 验证的(管理员+)通过自定义CSS存储跨站脚本漏洞
## 漏洞概述
Developer Formatter插件在WordPress中存在存储型跨站脚本(XSS)漏洞,该漏洞通过Custom CSS功能引入,影响版本包括2015.0.2.1及之前版本。
## 影响版本
- 影响所有版本,直到并包括2015.0.2.1
## 漏洞细节
- 漏洞原因是输入过滤不足和输出编码不充分。
- 攻击者可通过Custom CSS注入任意Web脚本,当用户访问被注入页面时,脚本将被执行。
- 仅影响多站点安装和禁用了unfiltered_html的安装。
## 影响
- 获得管理员权限的认证攻击者可注入任意Web脚本在被影响页面中执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Developer Formatter <= 2015.0.2.1 - Authenticated (Administrator+) Stored Cross-Site Scripting via Custom CSS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Developer Formatter plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Custom CSS in all versions up to, and including, 2015.0.2.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level access, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-5699 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-5699 的情报信息
-
标题: Developer Formatter <= 2015.0.2.1 - Authenticated (Administrator+) Stored Cross-Site Scripting via Custom CSS -- 🔗来源链接
标签:
神龙速读
-
-
标题: Developer Formatter – WordPress plugin | WordPress.org -- 🔗来源链接
标签:
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-5699