CVE-2025-62059CVE-2025-62059是WordPress SureRank插件中的一个存储型跨站脚本攻击(XSS)漏洞。该漏洞存在于Brainstorm Force开发的SureRank插件中,版本从n/a至1.3.2均受影响。由于插件在Web页面生成过程中未对用户输入进行适当的过滤和转义,攻击者可以在页面中注入恶意JavaScript代码。当其他用户访问包含恶意代码的页面时,攻击脚本会在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全问题。由于该漏洞为存储型XSS,恶意代码会被永久保存在服务器端,影响范围更广。CVSS评分7.1属于高危级别,攻击复杂度低,无需认证即可实施,但需要用户交互才能触发。
该漏洞是典型的存储型跨站脚本攻击(CWE-79)。SureRank插件在处理用户输入时,未对特殊字符进行HTML实体转义。攻击者可以通过插件的输入接口注入包含JavaScript代码的恶意载荷。当数据被存储到数据库后,每当页面加载时,这些未转义的内容会被直接输出到HTML页面中,导致恶意脚本在用户浏览器中执行。攻击者常利用此漏洞窃取用户Cookie、会话令牌,或通过DOM操作劫持页面行为。由于CVSS向量显示需要用户交互(UI:R),攻击者可能通过社会工程学手段诱导管理员或用户访问特定页面,从而触发XSS执行。攻击者可以利用窃取的凭证进行进一步横向移动或提权操作。