CVE-2025-64217这是关于ThemeGoods Photography WordPress主题的反射型跨站脚本(XSS)漏洞。该漏洞由于在网页生成过程中对用户输入处理不当导致,攻击者可以通过构造恶意链接诱骗用户点击,在用户浏览器中执行恶意JavaScript代码。此漏洞影响Photography主题7.7.2及以下版本。由于该主题广泛使用于摄影作品展示网站,漏洞可能影响大量网站用户。攻击者可以利用此漏洞窃取用户会话Cookie、劫持用户账户或进行钓鱼攻击。
漏洞源于ThemeGoods Photography主题在处理用户输入时未对特殊字符进行充分过滤和转义。攻击者可在URL参数中注入恶意JavaScript代码,当受害者访问包含恶意代码的链接时,服务器将未经过滤的用户输入直接返回到HTML响应中,浏览器将其解析为可执行脚本。攻击者通常通过电子邮件、社交媒体或其他渠道发送包含恶意URL的链接,诱骗用户点击。由于该主题未对关键参数实施输入验证或输出编码,攻击者可利用此漏洞执行各种客户端攻击。