CVE-2025-22725CVE-2025-22725是WordPress插件WP Virtual Assistant中的一个高危安全漏洞,CVSS评分达到7.1。该漏洞属于存储型跨站脚本攻击(Stored Cross-Site Scripting,简称Stored XSS),存在于插件的虚拟助手功能模块中。攻击者无需任何认证即可利用此漏洞,通过在插件的输入字段中注入恶意JavaScript代码,当其他用户访问包含该恶意代码的页面时,脚本将在受害者浏览器中执行。存储型XSS相较于反射型XSS更为危险,因为恶意代码被永久存储在服务器端,所有访问相关页面的用户都会受到影响。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件,对网站和用户造成严重安全威胁。
该漏洞源于WP Virtual Assistant插件在处理用户输入时未对特殊字符进行充分的输出编码。当用户在虚拟助手的输入字段中提交包含恶意脚本的内容时,插件直接将输入存储到数据库中,并在后续页面加载时未进行适当的HTML转义就直接输出到网页。具体来说,插件的VirtualAssistant模块在处理用户提交的数据时,使用了不安全的输出方法,导致攻击者可以在消息内容中嵌入<script>标签或事件处理器(如onerror、onload等),这些恶意代码会被永久存储在数据库中。每次有用户访问相关页面时,恶意脚本都会被浏览器执行。攻击者可以利用此漏洞窃取受害者的认证令牌、操纵页面内容或进行进一步的社会工程攻击。由于该插件通常在前台页面和后台管理界面都有数据展示,因此攻击影响范围较广。