CVE-2025-63061CVE-2025-63061是发生在WordPress KALLYAS主题中的一个DOM型跨站脚本(XSS)漏洞,CVSS评分6.5,属于中等严重程度。该漏洞由Patchstack团队的审计人员[email protected]发现并报告,披露日期为2025年12月9日。漏洞源于KALLYAS主题在处理用户输入时未能正确对输入进行安全过滤和转义,导致攻击者可以通过构造恶意脚本在受害者浏览器中执行任意JavaScript代码。由于该漏洞属于DOM型XSS,攻击载荷在客户端被动态插入到页面DOM中执行,无需服务器端参与,这使得传统的服务器端防护措施难以完全防御。攻击者需要诱导受害者访问包含恶意脚本的页面或点击特定链接,利用低权限账户或社会工程学手段即可实施攻击。该漏洞影响KALLYAS主题4.25.0之前的所有版本,建议用户立即升级到最新版本以修复此安全问题。
DOM型XSS是一种特殊的跨站脚本漏洞,其特点是不依赖服务器端代码的不安全输出,而是通过客户端JavaScript代码直接处理用户输入并动态修改DOM树来实现攻击。在KALLYAS主题中,漏洞很可能存在于主题的前端JavaScript代码中,该代码直接从URL参数、DOM元素或用户输入源获取数据,未经适当的安全处理即插入到页面HTML中。攻击者可以通过构造特殊构造的URL参数或页面元素,注入恶意的HTML/JavaScript代码。当受害者在浏览器中访问包含攻击载荷的页面时,浏览器会解析并执行注入的恶意脚本,从而实现窃取Cookie、会话劫持、钓鱼攻击或进一步的网络攻击。由于DOM型XSS的执行完全发生在客户端,传统的Web应用防火墙(WAF)和服务器端输入验证可能无法检测到此类攻击。修复此类漏洞需要对所有用户可控的输入点进行严格的输入验证和输出编码,使用textContent而非innerHTML进行DOM操作,或使用现代前端框架的安全API。