CVE-2025-1119: Simply Schedule Appointments 中的 XSS 漏洞 漏洞概述 CVE编号: CVE-2025-1119 漏洞类型: 任意Shortcode执行 (Arbitrary Shortcode Execution) 及 存储型XSS (Stored XSS) CVSS评分: 7.3 (High/高) CWE编号: CWE-94 (Improper Control of Generation of Code) 描述: 在WordPress插件 "Appointment Booking Calendar — Simply Schedule Appointments" 中发现的安全漏洞。攻击者无需认证即可通过操纵API参数注入并执行任意WordPress shortcodes,或通过 参数进行存储型XSS攻击。 影响范围 插件名称: Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin 受影响版本: <= 16.8.5 受影响组件: 文件中的 参数。 概念验证 (POC) 1. Shortcode 注入 POC: 攻击者可以通过向 端点发送POST请求,在 参数中注入恶意短代码。 注:payload 破坏了原始短代码结构并注入了新的短代码 。 2. Stored XSS POC: 利用相同的参数注入JavaScript代码。 注:此payload关闭了原始短代码并注入脚本,当访问编辑页面时执行。 修复方案 在版本 16.8.6 中,开发者通过添加正则表达式验证来修复此漏洞,仅允许字母、下划线和连字符。如果值无效,则默认为 'en_US'。 修复代码: