CVE-2025-62894CVE-2025-62894是WordPress插件ACF Recent Posts Widget中的一个高危安全漏洞。该插件是一款用于显示高级自定义字段(ACF)最近文章的WordPress小工具。漏洞源于该插件在Web页面生成过程中未对用户输入进行适当的转义处理,导致攻击者可以在文章内容中注入恶意JavaScript代码。当其他用户访问包含恶意代码的页面时,攻击脚本会在受害者浏览器中执行,从而窃取会话Cookie、劫持用户账户或进行其他恶意操作。由于是存储型XSS漏洞,恶意代码会被永久保存在服务器数据库中,所有访问相关页面的用户都会受到攻击影响。该漏洞需要低权限用户(如贡献者或作者角色)即可实施攻击,但需要诱导管理员或编辑等高权限用户访问恶意页面以触发完整攻击链。
该漏洞属于CWE-79(Web页面生成时未正确中和用户输入)类型的存储型跨站脚本(Stored XSS)漏洞。在ACF Recent Posts Widget插件中,当显示最近发布的文章列表时,插件会直接输出文章的标题、内容或自定义字段数据,而没有对这些数据进行充分的HTML转义处理。攻击者可以通过以下方式利用:1)创建或编辑文章,在标题或内容中嵌入恶意JavaScript代码,如<img src=x onerror=alert(document.cookie)>;2)配置ACF字段保存该恶意内容;3)当插件在前端页面渲染文章列表时,恶意代码会被作为正常HTML执行。由于WordPress的文章编辑界面允许具有投稿权限的用户输入任意内容,攻击门槛相对较低。攻击成功后,攻击者可以获取受害者的认证会话,执行任意前端操作,或进一步进行横向移动攻击。