CVE-2025-49958CVE-2025-49958是WordPress平台下Robokassa支付网关插件的一个高危安全漏洞。该漏洞类型为反射型跨站脚本攻击(Reflected XSS),存在于Web页面生成过程中对用户输入的不当处理。攻击者可以通过构造恶意链接,诱导用户点击后执行任意JavaScript脚本,从而窃取用户的会话cookie、劫持用户账户或进行其他恶意操作。该漏洞影响Robokassa payment gateway for Woocommerce插件从任意版本至1.8.6的所有版本。由于该插件用于处理WooCommerce电商平台的支付功能,漏洞被利用可能导致用户的支付信息和敏感数据泄露,对电商网站的安全运营构成严重威胁。
该漏洞是由于Robokassa支付网关插件在处理用户输入时未对特殊字符进行适当的HTML转义或过滤。当用户提交包含恶意脚本的数据时,这些数据被直接反射到网页响应中而未经安全处理。攻击者可以在支付回调URL或其他用户可控的输入点注入JavaScript代码,如<script>alert(document.cookie)</script>。当受害者访问包含恶意载荷的链接时,浏览器会执行注入的脚本代码。反射型XSS与存储型XSS不同,恶意代码不会保存在服务器端,但仍然可以窃取用户敏感信息、操纵网页内容或进行钓鱼攻击。由于该插件处理支付流程,攻击者可能利用此漏洞获取支付相关的敏感信息或冒充合法用户进行操作。