CVE-2025-64203CVE-2025-64203是WordPress Mailster邮件订阅插件中的一个反射型跨站脚本(XSS)漏洞。该漏洞由于在Web页面生成过程中对用户输入处理不当导致,攻击者可以通过构造恶意链接诱骗用户点击,在用户浏览器中执行任意JavaScript代码。Mailster是一款流行的WordPress邮件订阅管理插件,被广泛用于网站通讯和邮件营销场景。由于该插件用户基数大,此漏洞影响范围广泛。攻击者利用此漏洞可窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或在用户浏览器中执行恶意操作。CVSS评分7.1,属于高危漏洞。
该反射型XSS漏洞存在于Mailster插件的输入处理流程中。攻击者通过在URL参数中注入恶意JavaScript代码,当用户访问包含恶意参数的页面时,服务器未对用户输入进行充分的过滤和转义,直接将用户输入反射回页面响应中。浏览器解析响应时,会将恶意脚本作为合法脚本执行。攻击向量为网络路径,无需认证即可发起攻击,但需要用户交互(点击恶意链接)。CVSS向量显示攻击复杂度低(AC:L)、无需权限(PR:N)、需要用户交互(UI:R),影响范围涉及机密性(C:L)、完整性(I:L)和可用性(A:L)。攻击者通常在URL中构造类似?param=<script>alert(document.cookie)</script>的参数,诱导受害者访问。