CVE-2025-62074CVE-2025-62074是WordPress平台下WPMobile.App插件(也称为wpappninja)中的一个存储型跨站脚本(Stored XSS)漏洞。该插件是一款用于创建移动端应用程序的WordPress插件,允许网站管理员快速生成移动端友好版本的网站。漏洞源于该插件在处理用户输入时未能正确对特殊字符进行HTML实体编码,导致攻击者可以在网页中注入恶意JavaScript代码。当其他用户访问包含恶意代码的页面时,攻击脚本将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全问题。由于该插件被广泛应用于各类商业和個人WordPress网站,漏洞影响范围较广。攻击者无需特殊权限即可利用此漏洞,但需要诱导用户访问特制链接或页面。CVSS 3.1评分7.1,属于高危级别漏洞,主要风险在于对用户隐私和网站安全性的潜在威胁。
该漏洞属于典型的存储型跨站脚本(Stored XSS)漏洞,存在于WPMobile.App插件处理用户输入的环节。攻击原理如下:插件在接收用户输入(如用户名、个人描述、评论内容等)后,未能对HTML特殊字符(<、>、"、'、script标签等)进行充分的转义处理,直接将用户输入存储到数据库。当其他用户通过移动端视图访问包含恶意代码的页面时,服务器从数据库取出未经过滤的数据并嵌入到HTML响应中,浏览器将其解析为可执行代码。攻击者可以利用此漏洞注入JavaScript代码,窃取用户Cookie、劫持会话、修改页面内容或重定向用户到恶意网站。由于攻击代码被永久存储在服务器端,所有访问受影响页面的用户都会受到攻击,危害范围广泛。攻击者通常通过在用户资料字段、个人签名、评论内容等可输入区域插入恶意payload来触发漏洞。