CVE-2025-60132CVE-2025-60132是WordPress插件Video Blogster Lite中的一个高危安全漏洞,CVSS评分达到7.1。该漏洞属于跨站请求伪造(CSRF)与存储型跨站脚本(Stored XSS)的组合漏洞,存在于插件的1.2及以下版本中。攻击者可以利用CSRF漏洞诱导已登录的管理员用户在不知情的情况下执行恶意操作,进而在网站中注入存储型XSS payload。由于该XSS payload存储在数据库中,所有访问受影响页面的用户都会受到攻击,可能导致会话劫持、凭据窃取、恶意重定向等严重后果。此漏洞无需特殊权限即可利用,但需要诱导用户点击恶意链接或访问包含恶意表单的页面。
该漏洞源于Video Blogster Lite插件在处理用户输入时缺少适当的CSRF令牌验证和输入过滤机制。攻击者可以构造一个恶意HTML表单,包含针对插件管理功能的自动提交请求。当管理员用户访问该恶意页面或点击攻击者提供的链接时,浏览器会自动向目标WordPress站点发送已认证的请求。由于插件未验证请求的来源合法性(缺少CSRF token检查),攻击者可以绕过身份验证机制执行管理操作。在数据保存环节,插件直接将用户输入存储到数据库而未进行充分的HTML转义或输入验证,导致恶意JavaScript代码被永久存储。当其他用户访问包含恶意脚本的页面时,浏览器会执行这些脚本代码,从而实现存储型XSS攻击。攻击者可以利用此漏洞窃取管理员cookie、篡改网站内容或进行进一步的攻击。