CVE-2025-4776CVE-2025-4776是WordPress Phlox主题中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于主题处理`data-caption` HTML属性的过程中,由于输入过滤不足和输出转义不完整,攻击者可以在页面中注入恶意JavaScript代码。攻击者需要具有Contributor级别或更高的WordPress用户权限即可利用此漏洞。成功利用后,恶意脚本会被永久存储在数据库中,所有访问该页面的用户都会执行攻击者注入的代码,可能导致会话劫持、敏感信息窃取或进一步的恶意操作。CVSS评分6.4,属于中等严重程度,攻击复杂度低,无需用户交互即可触发。该漏洞影响了Phlox主题2.17.7及以下所有版本,Wordfence安全团队于2026年1月6日披露了此漏洞。
漏洞根源在于Phlox主题对用户输入的`data-caption`属性值缺乏充分的输入验证和输出转义。主题在渲染页面元素时,直接将用户可控的数据插入到HTML属性中而未进行适当的HTML实体编码。攻击者可以通过WordPress的编辑器或API接口,在支持富文本编辑的内容中注入包含恶意JavaScript代码的`data-caption`属性。例如,攻击者可以构造类似`onerror=alert(document.cookie)`的属性值,当页面渲染时,浏览器会将其解析为有效的HTML事件处理器。由于主题未对引号和尖括号进行转义,恶意代码会被浏览器执行。存储型XSS的危险性在于攻击载荷的持久性——一旦注入成功,代码会在所有访问该页面的用户浏览器中执行,攻击者可窃取cookie、会话令牌,或进一步进行CSRF攻击。