CVE-2025-63037CVE-2025-63037是WordPress Ronneby主题Core插件中的一个DOM型跨站脚本(XSS)漏洞。该漏洞由于在Web页面生成过程中对用户输入的不当中和处理导致,攻击者可以通过在受影响的页面中注入恶意JavaScript代码。DOM型XSS与传统的存储型或反射型XSS不同,它发生在客户端-side,直接在用户的浏览器中通过操作DOM对象而执行恶意脚本,无需服务器端参与。该漏洞的CVSS评分为6.5,属于中等严重程度,需要攻击者具备低权限账户并需要用户交互才能成功利用。攻击成功后,攻击者可以窃取用户的会话cookie、劫持用户会话、进行钓鱼攻击或修改页面内容展示,对网站用户造成安全威胁。
DOM型XSS漏洞发生在客户端JavaScript代码处理用户输入时未正确验证或转义数据的情况下。在Ronneby Theme Core插件中,恶意输入被直接插入到DOM中而非通过服务器端处理,导致攻击者可以构造包含JavaScript代码的恶意链接或输入。当其他用户访问包含恶意代码的页面时,浏览器会将其解析为可执行脚本并执行。攻击者通常需要诱导受害者点击特制的链接,利用URL参数或表单输入注入恶意脚本。由于该漏洞需要低权限账户(PR:L)且需要用户交互(UI:R),攻击复杂度较低但依赖社工手段。防御方面应使用textContent而非innerHTML、避免使用eval()处理用户输入、对所有用户输入进行适当的HTML转义。