CVE-2025-62752CVE-2025-62752是WordPress插件Kalender.digital中存在的一个DOM型跨站脚本(XSS)漏洞。该漏洞源于应用程序在生成Web页面时未正确对用户输入进行中立化处理,导致攻击者可以在受害者的浏览器中执行恶意脚本。攻击者可以利用此漏洞窃取会话Cookie、劫持用户账户或进行钓鱼攻击。此漏洞影响Kalender.digital 1.0.13及以下版本,CVSS评分为6.5,属于中等严重程度。
DOM型XSS是一种特殊的跨站脚本漏洞,其特点是不涉及服务器端的反射,而是完全在客户端通过JavaScript处理用户输入时产生。攻击者通过构造恶意URL参数或输入,当受害者的浏览器解析页面时,恶意脚本会被执行。Kalender.digital插件在处理用户输入时未进行适当的输入验证和输出编码,使得攻击者能够注入任意JavaScript代码。防御措施包括:升级到最新版本、对用户输入进行严格验证、使用textContent而非innerHTML、避免使用eval等危险函数。