CVE-2025-14049CVE-2025-14049是WordPress平台下VikRentItems灵活租赁管理系统插件的一个中高危安全漏洞。该插件是一款用于管理租赁业务的WordPress插件,提供了车辆、设备等物品的租赁管理功能。漏洞源于插件在处理用户输入的'delto'参数时,未进行充分的输入清理和输出转义,导致攻击者可以在页面中注入任意JavaScript脚本。此漏洞影响该插件1.2.0及以下所有版本。由于该漏洞属于反射型XSS,攻击者需要通过社会工程学手段诱导用户点击恶意链接,一旦用户访问包含恶意脚本的链接,攻击者即可窃取用户的会话Cookie、劫持用户账户、进行钓鱼攻击或执行其他恶意操作。由于插件广泛用于商业租赁网站,攻击者可能针对网站管理员或客户进行定向攻击,窃取敏感业务数据或支付信息。漏洞已于2025年12月12日披露,插件开发者已发布安全更新修复此问题。
该漏洞为典型的反射型跨站脚本攻击(XSS)漏洞,位于VikRentItems插件的文件site/views/deliverymap/tmpl/default.php第277行附近。漏洞产生的根本原因是程序在处理HTTP请求中的'delto'参数时,直接将该参数值输出到HTML页面而未进行任何过滤或转义处理。具体来说,当用户请求包含恶意构造的'delto'参数的URL时,如:/wp-admin/admin.php?page=vikrentitems&task=deliverymap&delto=<script>alert(document.cookie)</script>,恶意脚本内容会被直接嵌入到响应页面中。当其他用户访问该页面时,浏览器会将恶意内容当作合法脚本执行。攻击者可以利用此漏洞窃取用户的认证令牌、会话ID,绕过CSRF防护,甚至在某些情况下可能结合其他漏洞实现远程代码执行。攻击的成功依赖于诱导用户点击恶意链接,属于客户端攻击类型。由于该参数在插件的deliverymap功能模块中使用,攻击面相对有限,但仍需引起重视并及时修复。