支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-8615 基础信息
漏洞信息
                                        # CubeWP <=1.1.26 存储型XSS漏洞

## 概述
CubeWP 插件中的 `cubewp_shortcode_taxonomy` 短代码存在存储型跨站脚本漏洞。

## 影响版本
WordPress CubeWP 插件所有版本至 1.1.26(含)。

## 细节
该漏洞由于对用户提供的短代码属性缺乏充分的输入过滤和输出转义,导致攻击者可注入恶意脚本。

## 影响
经认证的攻击者(具备贡献者及以上权限)可将任意 Web 脚本注入页面,当其他用户访问该页面时,脚本将自动执行。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CubeWP <= 1.1.26 - Authenticated (Contributor+) Stored Cross-Site Scripting via cubewp_shortcode_taxonomy Shortcode
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The CubeWP plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's cubewp_shortcode_taxonomy shortcode in all versions up to, and including, 1.1.26 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-8615 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-8615 的情报信息

  • 标题: ERROR: The request could not be satisfied -- 🔗来源链接

    标签:

    神龙速读:
                                            - **HTTP Status**: 403 Forbidden
- **Error Details**:
  - Request blocked.
  - Unable to connect to the server for the app or website at this time.
  - Possible reasons: Too much traffic or a configuration error.
- **Suggestion**: 
  - Try again later.
  - Contact the app or website owner.
- **Content Provider Information**:
  - If you provide content through CloudFront, troubleshoot using CloudFront documentation.
- **Generated By**: cloudfront (CloudFront)
- **Request ID**: NoL9A0v_wuE_mWddkR2jnHyNoSvajosO-yeZpBlB77w3KiaSDs3cLg==
    ERROR: The request could not be satisfied

  • 标题: CubeWP Framework – WordPress plugin | WordPress.org -- 🔗来源链接

    标签:

    神龙速读:
                                            从这个网页截图中,我们可以获取到关于CubeWP Framework插件的一些关键信息,但关于漏洞的信息相对较少。以下是能提取到的关键信息:

- **插件名称和功能**:
  - 插件名称:CubeWP Framework。
  - 描述:这是一个全集成内容框架,提供从动态标签到定制字段等多种功能。

- **技术细节**:
  - 版本:1.1.29。
  - 测试的WordPress版本:6.9。
  - PHP版本:7.4或更高版本。

- **变更日志**:
  - 部分更新记录了安全修复,例如:
    - 修复了控制冲突警告错误。
    - 强化了插件安全,包括nonce和能力检查、强化输入验证和输出转义等。

- **安全相关更新**:
  - 在1.1.28版本中,有专门提到“SECURITY:加固了插件安全,包括nonce和能力检查、强化输入验证和输出转义、标准化翻译和JSON处理、改善安全重定向”。
  - 1.1.24版本提到“实施了额外的安全技术,以加强REST API端点的安全性”。

- **贡献者和支持**:
  - 主要贡献者为Imran Tauqeer和Team CubeWP。
  - 提供了支持论坛的链接和捐赠选项。

虽然上述信息提到了一些安全相关的更新,但并没有详细描述具体的漏洞或者漏洞修复详情。要深入了解这个插件可能存在的安全风险,可能需要查阅插件的详细代码或者相关的安全公告。如果有具体的安全咨询或者已知漏洞列表,可能会得到更详尽的漏洞描述。
    CubeWP Framework – WordPress plugin | WordPress.org

  • 标题: Changeset 3362001 – WordPress Plugin Repository -- 🔗来源链接

    标签:

    Changeset 3362001 – WordPress Plugin Repository
  • https://nvd.nist.gov/vuln/detail/CVE-2025-8615
四、漏洞 CVE-2025-8615 的评论

暂无评论

发表评论