CVE-2025-49398CVE-2025-49398是WordPress插件Easy Appointments中发现的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞源于插件对用户输入内容缺乏有效的HTML标签过滤和脚本相关字符的正确转义处理,攻击者可以通过在预订表单等输入字段中注入恶意JavaScript代码。当其他用户访问包含该恶意内容的页面时,注入的脚本代码将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、网页篡改等安全风险。由于该脚本内容会被永久存储在数据库中,因此所有访问相关页面的用户都会受到攻击影响。CVSS评分6.5,属于中等严重程度,但考虑到无需认证即可利用且影响范围广泛,建议尽快修复。
该漏洞属于经典的存储型XSS(Stored Cross-Site Scripting)漏洞,也被称为持久性XSS。攻击原理如下:Easy Appointments插件在处理用户提交的预约信息(如客户姓名、邮箱、电话、备注等字段)时,未对特殊字符进行适当的HTML实体编码或输入验证。攻击者可以在这些字段中插入恶意脚本代码,例如:<script>alert(document.cookie)</script>。当管理员或其他用户查看预约记录或在WordPress前端显示相关数据时,浏览器会将其作为HTML解析并执行其中的脚本代码。由于该内容被存储在数据库中,每次页面加载都会触发执行,形成持久性攻击。攻击者可利用此漏洞窃取用户会话Cookie、进行钓鱼攻击或植入恶意重定向。