CVE-2025-62069CVE-2025-62069是WordPress插件wp-meta-data-filter-and-taxonomy-filter (MDTF)中的一个存储型跨站脚本(XSS)漏洞。该插件版本从n/a至1.3.3.8均受影响,CVSS评分6.5,属于中等严重程度。漏洞源于该插件在处理用户输入时未能正确对特殊字符进行HTML转义,导致攻击者可以在页面中注入恶意JavaScript代码。由于该插件用于创建元数据过滤器和分类法过滤器功能,通常会在前端页面展示用户提交的数据,攻击者只需诱使管理员或用户访问包含恶意代码的页面即可触发攻击。攻击者可利用此漏洞窃取会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。攻击复杂度较低,但需要用户交互,攻击向量为网络范围。此漏洞由PatchStack安全团队发现并报告,建议用户立即升级到最新版本以修复此安全问题。
该存储型XSS漏洞存在于wp-meta-data-filter-and-taxonomy-filter插件的输入处理和输出渲染环节。攻击者通过在插件的元数据过滤器或分类法过滤器功能中提交包含恶意JavaScript代码的输入值。由于插件在存储用户输入时未进行充分的输入验证和HTML实体转义,直接将用户提交的原始数据存入数据库。当其他用户访问显示这些数据的页面时,恶意代码会作为页面内容的一部分被浏览器解析执行。攻击者可利用此漏洞注入<script>标签或事件处理器属性(如onerror、onload等)来执行任意JavaScript代码。由于该插件通常在产品列表或过滤结果页面展示数据,攻击面较广。攻击者首先需要向插件功能点提交恶意Payload,等待数据被存储后,任何访问相关页面的用户都会成为受害者。此类存储型XSS比反射型XSS危害更大,因为恶意代码会持久存在于服务器端,影响所有访问该页面的用户。修复方案应在数据输入时进行严格的输入验证,并在输出时对所有可能包含HTML的内容进行适当的HTML实体转义或使用textContent而非innerHTML进行DOM操作。