CVE-2025-63048CVE-2025-63048是WordPress插件ListingPro Lead Form中的一个DOM型跨站脚本攻击(XSS)漏洞。该插件用于在WordPress网站上创建和管理潜在客户表单。漏洞源于在Web页面生成过程中对用户输入的不当处理,导致恶意脚本可以在受害者的浏览器中执行。攻击者可以利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或在网站上注入恶意内容。由于该漏洞属于DOM型XSS,恶意脚本在客户端通过JavaScript动态修改DOM时执行,无需服务器端参与。攻击者需要诱骗受害者访问包含恶意脚本的页面,且该插件版本在1.0.7及以下均受影响。CVSS评分6.5,属于中等严重程度,虽然不需要高权限,但需要用户交互才能触发。
DOM型XSS漏洞发生在客户端JavaScript代码动态修改DOM树时,未对用户可控的输入进行适当的安全处理。在ListingPro Lead Form插件中,攻击者可以通过在表单输入字段中注入恶意JavaScript代码(如<script>标签或事件处理器如onerror、onload等),当插件的JavaScript代码将这些输入动态插入到DOM中时,恶意脚本将被执行。攻击者通常利用URL参数或表单字段作为攻击向量,将恶意脚本隐藏在看似正常的链接或表单提交中。由于漏洞发生在客户端,传统的服务器端WAF可能无法有效检测此类攻击。攻击成功的关键在于受害者的浏览器会信任并执行来自当前页面上下文的脚本,导致攻击者可以获取存储在浏览器中的敏感信息如认证令牌、会话ID等。防御重点应放在客户端输入验证和输出编码上。