CVE-2025-62761CVE-2025-62761是WordPress平台BasePress知识库文档维基插件中的一个存储型跨站脚本(XSS)漏洞。该漏洞源于BasePress插件在处理用户输入时未能正确对输入内容进行中和转义,导致攻击者可以在知识库文章中注入恶意JavaScript代码。当其他用户访问包含恶意代码的页面时,这些脚本将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。攻击者利用此漏洞需要具有低权限用户身份(如贡献者或作者角色),通过在文章内容中嵌入恶意脚本代码。由于该XSS为存储型,恶意代码会永久保存在服务器端,所有访问相关页面的用户都会受到攻击影响。此漏洞影响BasePress插件2.17.0.1及以下所有版本,CVSS评分6.5,属于中等严重程度。
该漏洞属于存储型XSS(Stored Cross-Site Scripting)漏洞,分类为CWE-79(在Web页面生成期间未正确中和输入)。BasePress插件在处理知识库文章内容时,对用户提交的HTML/JavaScript内容缺乏充分的输入验证和输出编码。攻击者可以在文章标题、正文内容或元数据中嵌入恶意脚本标签,如<script>alert(document.cookie)</script>或<img src=x onerror=...>等。由于插件未对这些特殊字符进行HTML实体转义,恶意代码被直接存储在数据库中。当其他用户访问该文章页面时,服务器从数据库读取并返回未转义的HTML内容,浏览器将其解析执行。攻击者利用低权限账号即可实施攻击,无需管理员权限。此类XSS可配合CSRF攻击实现更大危害,如自动传播恶意内容或窃取管理员凭证。