CVE-2025-64207CVE-2025-64207是WordPress Jannah主题中的一个DOM型跨站脚本(DOM-Based XSS)漏洞。该漏洞由于在网页生成过程中对用户输入的不当处理导致,攻击者可以通过在受影响页面中注入恶意JavaScript代码来窃取用户会话cookie、劫持用户账户、执行未经授权的操作或进行钓鱼攻击。Jannah是一款流行的WordPress多用途主题,被广泛应用于各类网站。由于该漏洞无需认证即可利用(PR:N),且需要用户交互(UI:R),攻击者需要诱导用户访问恶意链接或触发漏洞的页面。CVSS评分7.1分,属于高危漏洞,建议尽快升级到最新版本或应用官方安全补丁。
该漏洞为DOM型XSS(也称为类型0 XSS),与传统存储型或反射型XSS不同,DOM型XSS的恶意代码不会被服务器端程序处理,而是完全在客户端浏览器的DOM环境中执行。在Jannah主题中,漏洞可能存在于前端JavaScript代码对URL参数或用户输入的处理逻辑中。攻击者构造包含恶意JavaScript代码的特殊URL参数,当受害者在浏览器中打开该链接时,前端JavaScript会从DOM中读取用户输入并将其动态插入到页面中执行。由于浏览器信任来自DOM的数据,恶意代码将以当前页面的上下文权限执行,从而实现会话劫持、敏感信息窃取等攻击目的。攻击者通常利用社会工程学手段诱导用户点击恶意链接。