CVE-2025-62899CVE-2025-62899是WordPress Photospace Responsive插件中的一个存储型跨站脚本(XSS)漏洞。该插件由THRIVE - Web Design Gold Coast开发,是一款流行的响应式图片画廊WordPress插件。漏洞源于应用程序在生成Web页面时未对用户输入进行适当的过滤和转义,攻击者可以利用此漏洞在受害者的浏览器中执行恶意JavaScript代码。由于是存储型XSS,恶意脚本会被永久存储在服务器端,所有访问包含恶意内容的页面用户都会受到攻击影响。此漏洞需要攻击者具有高权限(如管理员或编辑权限),并需要用户交互(如点击链接或访问特定页面)才能触发。CVSS 3.1评分为5.9,属于中等严重级别。
存储型XSS漏洞发生在Photospace Responsive插件的输入处理环节。攻击者通过插件的上传或配置功能注入恶意JavaScript代码,由于插件未对用户输入进行充分的HTML实体转义或输入验证,恶意代码被直接存储到数据库中。当其他用户访问包含该恶意内容的页面时,服务器从数据库读取未经过滤的数据并嵌入到HTML响应中,浏览器将其作为合法脚本执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、执行任意操作或重定向用户到恶意网站。由于该漏洞需要高权限用户才能注入恶意代码,且需要其他用户交互才能触发,攻击复杂度较高,但一旦利用成功,攻击者可以在受害者浏览器中执行任意JavaScript代码,危害严重。