CVE-2025-64191CVE-2025-64191是WordPress XStore主题中的一个反射型跨站脚本(XSS)漏洞,CVSS评分7.1,属于高危漏洞。该漏洞由于在网页生成过程中对用户输入的不当处理导致,攻击者可以通过构造恶意URL诱使受害者点击,在受害者浏览器中执行任意JavaScript代码。此漏洞影响XStore主题9.6.1之前的所有版本。攻击者可以利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或植入恶意内容。由于该漏洞无需认证即可利用且攻击复杂度较低,对使用受影响版本XStore主题的网站构成严重威胁。
反射型XSS漏洞发生在Web应用程序将用户输入未经充分过滤或转义就直接输出到HTML页面时。对于XStore主题,攻击者可以通过在URL参数中注入恶意JavaScript代码,当受害者访问包含恶意参数的链接时,服务器会将这些未经验证的输入反射回浏览器,浏览器将其作为合法HTML/JS执行。攻击者通常构造包含<script>标签或事件处理器(如onerror、onload)的恶意URL,通过社会工程学手段诱骗用户点击。成功利用后,攻击者可获取用户cookie、进行UI操作或重定向用户到恶意站点。防御措施包括对所有用户输入进行HTML实体编码、使用Content-Security-Policy头部、实施输入验证和白名单机制。