CVE-2025-13624CVE-2025-13624是WordPress平台下Overstock Affiliate Links插件的一个中危安全漏洞。该插件用于在WordPress网站中管理Overstock联属营销链接。漏洞根源在于插件对用户输入处理不当,具体表现为对$_SERVER['PHP_SELF']参数缺乏有效的输入清理和输出转义。在所有版本直至1.1版本均存在此问题。攻击者可以利用此漏洞构造恶意链接,当用户点击该链接时,注入的任意Web脚本将在受害者浏览器中执行。由于是反射型XSS,恶意脚本不会存储在服务器上,而是通过URL参数即时反射到页面响应中。攻击者通常通过社会工程手段诱骗用户点击恶意链接,可能导致会话劫持、敏感信息窃取、恶意重定向等危害。此漏洞无需认证即可利用,但需要用户交互(点击链接),这在一定程度上限制了其自动化利用的可能性。建议网站管理员立即更新插件至最新版本,并对所有用户输入实施严格的过滤和转义策略。
该漏洞属于典型的反射型跨站脚本(Reflected XSS)漏洞。在sandbox_page.php文件的第18行附近,插件直接使用$_SERVER['PHP_SELF']变量而未进行适当的sanitization和escaping处理。PHP_SELF是PHP预定义变量,返回当前执行脚本的文件名,攻击者可以通过在URL中注入恶意脚本来控制这个值。当用户访问类似http://victim.com/wp-content/plugins/overstock-affiliate-links/sandbox_page.php/\"><script>alert(document.cookie)</script>的URL时,PHP_SELF会包含注入的<script>标签,该内容未经转义直接输出到HTML页面中。浏览器会将这部分内容解析为JavaScript代码并执行。攻击者利用此漏洞可窃取用户Cookie、会话令牌,执行任意JavaScript操作,或将用户重定向到恶意网站。防御措施包括:对所有用户输入使用htmlspecialchars()或esc_html()进行输出转义,使用strip_tags()移除HTML标签,或使用WordPress提供的sanitize_*系列函数进行输入清理。