CVE-2025-62991CVE-2025-62991是WordPress Minamaze主题中的一个存储型跨站脚本(Stored XSS)漏洞,CVSS评分6.5,属于中危漏洞。该漏洞由于主题在处理用户输入时未正确对特殊字符进行转义或过滤,导致恶意JavaScript代码可以被存储到数据库中。当其他用户访问包含恶意代码的页面时,攻击者注入的脚本将在受害者浏览器中执行,从而窃取Cookie、会话令牌或其他敏感信息。Minamaze是一款由thinkupthemes开发的流行WordPress主题,广泛应用于各类网站。由于该漏洞为存储型XSS,攻击者只需一次注入,即可在所有访问受影响页面的用户浏览器中执行恶意代码,危害范围较广。此漏洞影响版本从n/a至1.10.1,攻击复杂度低,需要低权限用户交互,但可导致机密性和完整性方面的低至中等程度影响。建议受影响的用户立即升级到最新版本或采取临时缓解措施。
存储型XSS漏洞发生在应用程序将用户输入的数据未经充分过滤或转义就直接存储到数据库,并在后续页面渲染时直接输出到HTML中。对于Minamaze主题,漏洞可能存在于主题的以下功能模块:1) 主题选项设置页面,用户输入的文本内容未经过滤直接存储;2) 自定义CSS/HTML代码区域,允许注入恶意脚本;3) 小工具或页面构建器组件,处理富文本输入时缺少XSS防护。攻击者可通过低权限账户(如订阅者)在存在漏洞的输入点注入JavaScript代码,例如:<script>alert(document.cookie)</script>。该代码被存储到数据库后,每次有用户访问相关页面时,浏览器会将其作为HTML的一部分解析执行。由于WordPress后台管理面板也使用相同的数据,攻击者甚至可以窃取管理员凭据,进一步实现完全接管网站的目的。防御措施包括:对所有用户输入使用htmlspecialchars()或esc_html()进行HTML实体编码;对输出点使用wp_kses()进行白名单过滤;实施Content-Security-Policy响应头限制脚本执行;定期更新WordPress核心和主题到最新版本。