CVE-2025-49042CVE-2025-49042是WordPress最流行的电商插件WooCommerce中的一个高危存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于WooCommerce 10.0.2及之前版本中,由于应用程序在处理用户输入时未能正确对特殊字符进行HTML转义和过滤,导致攻击者可以在页面中注入恶意JavaScript代码。此漏洞被分类为存储型XSS,意味着恶意脚本会被永久存储在服务器端,当其他用户访问受影响的页面时,恶意代码会自动执行。攻击者利用此漏洞可以窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。由于WooCommerce被全球数百万网站使用,该漏洞影响范围广泛,涉及电子商务网站的客户数据安全和交易安全。漏洞由Patchstack安全团队发现并报告,CVSS评分5.9,属于中等严重程度,但实际危害取决于网站用户规模和交易量。
存储型XSS漏洞发生在WooCommerce插件的特定功能模块中,攻击者通过向服务器提交包含恶意JavaScript代码的输入数据,这些数据未经适当清理即被存储到数据库。当其他用户(如网站管理员或客户)访问包含该恶意数据的页面时,浏览器会将其解析为HTML并执行其中的脚本代码。攻击者通常利用 WooCommerce 的产品评论、订单备注、客户信息字段或管理面板中的文本输入点来注入payload。典型的攻击payload可能包含<script>标签或事件处理器如onerror、onload等。成功利用此漏洞需要攻击者具有高权限账户(如商店经理或管理员),但一旦恶意代码被注入,所有访问受影响页面的用户都会受到攻击。攻击者可以获取受害者用户的认证令牌、操纵页面内容或重定向用户到恶意网站。由于该漏洞影响电商平台,还可能危及支付信息和客户隐私数据。