CVE-2025-12077CVE-2025-12077是WordPress平台WP to LinkedIn Auto Publish插件中的一个中危安全漏洞。该漏洞为反射型跨站脚本攻击(Reflected XSS),存在于插件的PostMessage功能中,影响版本至1.9.8。由于插件在处理用户输入时未进行充分的输入清理和输出转义,攻击者可以利用此漏洞在受害者浏览器中执行任意JavaScript代码。攻击者需要诱导用户点击特制链接或执行特定操作才能触发漏洞利用。此漏洞由Wordfence安全团队发现并报告,CVSS评分为6.1,属于中危级别。对于运行该插件的WordPress网站,建议尽快更新至最新版本以修复此安全风险。
该漏洞位于WP to LinkedIn Auto Publish插件的notice.js文件中,具体问题在于PostMessage消息处理机制缺乏适当的输入验证和输出编码。攻击者可以构造包含恶意JavaScript代码的PostMessage消息,当目标用户访问包含该插件的页面并触发消息传递时,恶意脚本将在用户浏览器上下文中执行。由于插件未对传入的消息内容进行安全过滤,攻击者可利用此漏洞窃取用户会话Cookie、劫持用户操作或重定向用户至钓鱼页面。反射型XSS的特点是恶意脚本不会存储在服务器端,而是通过URL参数或POST请求中的参数反射回用户。攻击者通常通过社工手段诱导受害者点击包含恶意payload的链接,利用用户对网站的信任执行攻击。