CVE-2025-62748CVE-2025-62748是WordPress插件Web and WooCommerce Addons for WPBakery Builder中的一个DOM型跨站脚本(XSS)漏洞。该插件由Genetech Products开发,用于为WPBakery页面构建器添加额外的Web和WooCommerce组件。漏洞源于插件在Web页面生成过程中未正确对用户输入进行安全处理,导致攻击者可以通过在页面中注入恶意JavaScript代码,在受害者浏览器中执行任意脚本。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。由于该插件在WordPress生态中应用广泛,漏洞可能影响大量使用该插件的网站。漏洞评分6.5,属于中等严重程度,需要认证用户配合用户交互才能触发。
DOM型XSS是一种特殊的跨站脚本攻击方式,其特点是不需要服务器端参与,攻击载荷在客户端被JavaScript代码动态执行。在本漏洞中,vc-addons-by-bit14插件的JavaScript代码直接从DOM中获取用户可控的数据(如URL参数、DOM元素内容等),并将其直接插入到页面中而未进行适当的输入验证和输出编码。攻击者可以通过构造包含恶意JavaScript代码的链接,诱导已登录用户访问。当用户点击特制链接时,恶意脚本会在用户浏览器上下文中执行,能够访问该用户的会话信息、执行特权操作或窃取敏感数据。由于攻击载荷存储在客户端,传统的服务端WAF和XSS过滤器可能无法有效检测此类攻击。漏洞影响插件版本1.5及以下所有版本。