CVE-2025-49046CVE-2025-49046是WordPress插件xPromoter(由LambertGroup开发)中的一个反射型跨站脚本(Reflected XSS)漏洞。该漏洞源于应用程序在生成Web页面时未正确对用户输入进行中和处理,导致攻击者可以在受害者的浏览器中执行任意JavaScript代码。该漏洞影响xPromoter插件从n/a版本至1.3.4及以下所有版本。由于攻击者需要诱导用户点击特制链接才能触发漏洞,因此需要用户交互。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容,对网站和用户安全造成威胁。CVSS 3.1评分7.1,属于高危漏洞。
该漏洞是典型的反射型XSS(Cross-site Scripting)漏洞,存在于xPromoter插件的top_bar_promoter功能模块中。漏洞产生的根本原因是应用程序在处理用户输入参数后,直接将未经过滤或转义的用户输入内容回显到HTTP响应页面中。攻击者可以通过构造包含恶意JavaScript代码的URL参数,当受害者访问该特制链接时,恶意脚本代码将在受害者浏览器上下文中执行。攻击者可利用此漏洞获取受害者的认证令牌、会话Cookie,读取页面敏感信息,或在用户不知情的情况下执行恶意操作。由于该漏洞影响WordPress插件的公共访问页面,攻击者可大规模分发钓鱼邮件或恶意链接进行攻击。防御措施包括:对所有用户输入进行严格的输入验证和输出编码,使用Content-Security-Policy头部限制脚本执行,以及升级到最新修复版本。