CVE-2025-49909 CVSS 7.1 高危

CVE-2025-49909: Penci Bookmark & Follow插件反射型XSS漏洞

披露日期: 2025-11-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-49909

漏洞类型

跨站脚本攻击(XSS)

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

PenciDesign Penci Bookmark & Follow (penci-bookmark-follow)

漏洞概述

PenciDesign Penci Bookmark & Follow插件存在反射型跨站脚本(XSS)漏洞，攻击者可通过构造恶意脚本在用户浏览器中执行。该插件用于WordPress站点，允许用户收藏和关注内容。漏洞源于对用户输入未进行充分的过滤和转义，攻击者可利用此漏洞窃取用户会话cookie、劫持用户账户或进行钓鱼攻击。CVSS评分7.1，属于高危漏洞，攻击复杂度低，无需认证即可利用，但需要用户交互。

技术细节

漏洞位于插件的输入处理环节，当用户访问包含恶意脚本的URL时，服务器未对参数进行适当的安全处理，直接将用户可控的输入反射回页面。攻击者构造带有JavaScript代码的链接，诱导用户点击后，脚本将在受害者浏览器上下文执行，可获取敏感信息或执行恶意操作。

攻击链分析

STEP 1

攻击者构造恶意URL，包含XSS payload

STEP 2

诱导用户点击恶意链接

STEP 3

用户浏览器执行反射的恶意脚本

STEP 4

攻击者获取用户会话或敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

http://target-site.com/?bookmark=<script>alert(document.cookie)</script>

影响范围

penci-bookmark-follow < 2.4

防御指南

临时缓解措施

立即更新至最新版本，或暂时禁用该插件直至修复完成

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表