CVE-2023-54358WordPress adivaha Travel Plugin 2.3版本存在反射型跨站脚本(XSS)漏洞。由于插件未对`isMobile`参数进行严格的过滤和转义,未认证攻击者可通过构造包含恶意脚本的URL诱导受害者访问。当受害者点击该链接时,恶意代码将在其浏览器中执行,攻击者可借此窃取会话令牌或敏感凭证。
该漏洞源于WordPress adivaha Travel Plugin 2.3版本在处理`/mobile-app/v3/`端点请求时的输入验证缺失。后端代码直接获取GET请求中的`isMobile`参数值,并将其未经HTML实体编码地嵌入到服务器返回的HTTP响应页面中。攻击者利用这一缺陷,可以构造包含任意HTML标签或JavaScript代码的Payload。由于CVSS向量显示需要用户交互(UI:R),攻击链通常始于社会工程学攻击。攻击者将精心设计的恶意链接发送给目标用户,一旦用户点击,服务器便会将Payload反射回浏览器。浏览器解析响应后,恶意脚本即在当前用户的上下文中运行。这允许攻击者绕过同源策略,读取Document Cookie、LocalStorage等敏感数据,甚至修改页面内容进行钓鱼,最终导致用户会话被劫持或账户被盗。