CVE-2025-49344CVE-2025-49344是WordPress SensitiveTagCloud(敏感标签云)插件中的一个跨站请求伪造(CSRF)漏洞,该漏洞可导致存储型跨站脚本(Stored XSS)攻击。该插件版本从n/a至1.4.1均受影响。攻击者可以通过构造恶意请求,诱骗已认证的管理员或用户在不知情的情况下执行非法操作,从而在网站页面中注入恶意JavaScript代码。由于是存储型XSS,恶意脚本会被永久保存在服务器端,所有访问受影响页面的用户都会受到攻击,可能导致会话劫持、敏感信息窃取、恶意重定向等严重安全问题。该漏洞无需特殊权限即可发起攻击,但需要用户交互(点击恶意链接或访问恶意页面)。CVSS评分7.1,属于高危漏洞。
该漏洞存在于SensitiveTagCloud插件的标签管理功能中。插件在处理用户提交的标签数据时,未正确验证请求的来源和合法性,导致存在CSRF缺陷。攻击者可以构造一个包含恶意JavaScript代码的表单,诱使已登录的管理员或用户在不知情的情况下提交。当恶意标签数据被保存到数据库后,任何访问包含该标签的页面都会触发存储型XSS攻击。由于WordPress插件通常在管理员后台和前台页面都会输出标签数据,攻击影响范围较广。攻击者可以利用此漏洞窃取管理员Cookie、劫持用户会话、修改网站内容或进行进一步的内网渗透。漏洞的利用条件是目标用户必须处于登录状态并访问攻击者构造的恶意页面。