CVE-2025-32123CVE-2025-32123是WordPress插件lbg-vp2-html5-rightside(HTML5 Video Player with Playlist & Multiple Skins)中的一个高危安全漏洞。该漏洞为反射型跨站脚本(Reflected XSS)漏洞,CVSS评分7.1,属于高危级别。漏洞源于该插件在Web页面生成过程中对用户输入的不当处理,导致攻击者可以通过构造恶意链接诱使受害者点击,在受害者浏览器中执行任意JavaScript代码。由于该漏洞不需要认证即可利用(PR:N),且攻击复杂度较低(AC:L),但需要用户交互(UI:R),因此攻击者通常通过社会工程学手段传播恶意链接。成功利用此漏洞可导致会话劫持、敏感信息窃取、恶意内容注入等严重后果。建议受影响的用户尽快升级到最新版本或采取临时缓解措施。
该漏洞存在于lbg-vp2-html5-rightside插件的特定参数处理逻辑中。攻击者可以通过在URL参数中注入恶意JavaScript代码,当受害者访问包含该恶意参数的页面时,服务器将未经过滤的用户输入直接返回到响应页面中。由于浏览器会将响应内容解析为HTML并执行其中的JavaScript脚本,攻击者的恶意代码便可在受害者浏览器上下文中执行。攻击者通常利用此漏洞窃取用户会话Cookie、进行钓鱼攻击或重定向用户到恶意网站。由于该插件常用于嵌入视频播放器页面,攻击者可能针对访问视频页面的用户发起定向攻击。漏洞利用的关键在于找到插件处理用户输入且未进行适当输出编码的端点,然后构造包含XSS payload的URL。