CVE-2025-60176CVE-2025-60176是WordPress插件WP Tesseract中的一个存储型跨站脚本(XSS)漏洞。该漏洞由于在Web页面生成过程中对用户输入的不当中和导致。攻击者可以利用此漏洞在受影响的WordPress站点中注入恶意JavaScript代码。由于是存储型XSS,恶意脚本会被永久保存在服务器端(如数据库或文件系统),所有访问包含恶意内容的页面的用户都会受到攻击。攻击者可能利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。该漏洞需要高权限用户权限才能利用,且需要用户交互触发。
该漏洞发生在WP Tesseract插件处理用户输入时,未对特殊字符进行适当的HTML转义或过滤。攻击者可以通过在插件的输入字段中注入恶意脚本代码(如<script>标签或JavaScript事件处理器)。由于输入被存储在数据库中,当其他用户访问相关页面时,恶意代码会被浏览器执行。攻击向量为网络路径,复杂度低,但需要攻击者具有高权限(如管理员或编辑权限)。攻击成功后可窃取用户敏感信息、伪造用户操作或传播恶意内容。由于是存储型XSS,攻击具有持久性,即使原始攻击者不再活跃,恶意代码仍会继续影响后续访问者。