CVE-2025-52751CVE-2025-52751是WordPress平台上一款名为Slide Puzzle的幻灯片拼图插件中发现的安全漏洞。该插件由colome开发,用于在WordPress网站中创建交互式幻灯片拼图游戏。然而,该插件在1.0.0及以下版本中存在一处严重的反射型跨站脚本(XSS)漏洞。反射型XSS是一种常见的Web安全漏洞,攻击者通过构造特殊的恶意URL参数,诱使受害者在访问包含恶意脚本的链接时,在不知情的情况下执行攻击者注入的JavaScript代码。由于该漏洞无需认证即可利用,且影响范围覆盖插件所有版本,攻击者可能利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或植入恶意广告等,对网站用户和企业声誉造成严重威胁。Patchstack安全团队于2025年10月22日披露了此漏洞,并建议用户尽快采取修复措施。
该漏洞属于经典的反射型跨站脚本攻击(RXSS)。漏洞产生的根本原因在于Slide Puzzle插件的某些前端功能模块(如幻灯片展示、拼图配置等)未对用户输入进行充分的过滤和转义处理。当攻击者构造包含恶意JavaScript代码的URL参数(如在URL中嵌入script标签或事件处理器)并诱导受害者点击时,服务器会将用户输入未经处理直接返回到响应页面中。由于浏览器将响应内容中的恶意代码视为合法脚本执行,从而导致XSS攻击成功。攻击者可利用此漏洞执行任意JavaScript代码,包括读取用户Cookie、修改页面内容、键盘记录、重定向用户到钓鱼网站等操作。CVSS 3.1评分7.1分(高危)反映了该漏洞通过网络即可利用、无需认证但需要用户交互的特点。由于该漏洞位于前端组件中,攻击者通常通过社工手段诱骗用户点击恶意链接即可实施攻击。