CVE-2025-64365CVE-2025-64365是WordPress主题Ohio Extra插件中的一个DOM型跨站脚本(XSS)漏洞。该漏洞由于在Web页面生成过程中对用户输入的不当中和处理导致。攻击者可以通过在受影响的参数中注入恶意JavaScript脚本,当其他用户访问包含恶意代码的页面时,脚本将在用户浏览器中执行,从而窃取用户会话Cookie、劫持用户账户或进行其他恶意操作。该漏洞影响Ohio Extra插件3.6.0及以下版本,CVSS评分为6.5,属于中等严重程度。由于该漏洞为DOM型XSS,传统的服务器端过滤可能无法有效检测,需要在客户端渲染时对用户可控数据进行严格过滤和编码。
DOM型XSS漏洞发生在客户端JavaScript代码处理用户输入时,未对输入数据进行适当的验证和转义。在Ohio Extra插件中,攻击者可以通过构造特定的URL参数或表单输入,包含恶意JavaScript代码(如<script>标签、事件处理器onerror/onclick等)。当页面加载时,JavaScript从DOM中获取用户输入并直接写入页面内容或执行危险操作,如innerHTML、document.write、eval等。由于DOM型XSS的执行完全在客户端进行,服务器端的WAF或安全插件可能无法检测到此攻击。攻击者利用此漏洞可窃取用户认证信息、篡改页面内容或重定向用户至钓鱼网站。