CVE-2025-62757CVE-2025-62757是WordPress插件WebMan Amplifier中的一个DOM型跨站脚本(XSS)漏洞。该漏洞由Patchstack安全团队的审计人员发现,存在于插件的Web页面生成过程中,由于对用户输入的不当中和处理导致。攻击者可以利用此漏洞在受害者的浏览器中执行任意JavaScript代码,从而窃取会话令牌、劫持用户账户或进行钓鱼攻击。该漏洞的CVSS评分为6.5,属于中等严重程度。攻击复杂度低,但需要低权限用户配合用户交互才能成功利用。漏洞影响WebMan Amplifier从任意版本到1.5.12的所有版本,WordPress站点管理员应尽快升级到最新修复版本以消除安全风险。
DOM型XSS是一种客户端侧跨站脚本攻击,与传统的反射型或存储型XSS不同,DOM型XSS的漏洞点存在于页面的JavaScript代码中。当应用程序的客户端JavaScript代码处理用户可控的输入数据,并将其直接动态更新到页面的DOM结构时,如果缺乏适当的输入验证和输出编码,就会产生DOM型XSS漏洞。在WebMan Amplifier插件中,攻击者可以通过构造特定的恶意payload(如包含JavaScript事件处理器或脚本标签的内容),在插件处理用户输入时将其注入到页面的DOM中。当其他用户访问包含恶意内容的页面时,浏览器会将其解析为可执行代码,从而触发XSS攻击。攻击者通常需要诱导受害者访问恶意链接或页面才能触发漏洞利用。