CVE-2025-49951CVE-2025-49951是WordPress插件gAppointments中的一个反射型跨站脚本(XSS)漏洞。该漏洞存在于Web页面生成过程中对用户输入的不当处理,导致攻击者可以在受害者浏览器中执行任意JavaScript代码。gAppointments是一款用于管理预约的WordPress插件,被广泛应用于各类网站中。由于该漏洞属于反射型XSS,攻击者需要诱导用户点击特制的恶意链接才能触发攻击。成功利用此漏洞可导致会话劫持、敏感信息窃取、恶意内容注入等严重后果。CVSS评分7.1,属于高危漏洞。攻击复杂度低,无需认证即可发起攻击,但需要用户交互才能成功触发。
该漏洞源于gAppointments插件在处理用户输入时未能对特殊字符进行正确的HTML转义或过滤。攻击者可以通过构造包含恶意JavaScript代码的URL参数,当受害者访问该链接时,恶意脚本会被反射回用户浏览器并执行。典型的攻击向量是在URL中注入<script>标签或事件处理器(如onerror、onload等)。由于WordPress插件通常在后端使用PHP开发,漏洞可能存在于未使用esc_html()或esc_attr()等安全函数对用户输入进行处理的输出点。攻击者可以利用此漏洞窃取用户Cookie、会话令牌,或在用户不知情的情况下执行操作。