CVE-2025-64376CVE-2025-64376是WordPress ListingPro主题中的一个反射型跨站脚本(Reflected XSS)漏洞,CVSS评分为7.1,属于高危漏洞。该漏洞由于在Web页面生成过程中对用户输入的不当处理导致,攻击者可以通过构造恶意链接诱骗用户点击,在用户浏览器中执行任意JavaScript代码。ListingPro是一款流行的WordPress主题,主要用于创建商业目录和列表网站。由于该主题被广泛使用,此漏洞可能影响大量使用该主题的网站。攻击者可以利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。漏洞影响版本从n/a至2.9.10,建议用户尽快升级到最新版本以修复此安全问题。
该漏洞是典型的反射型跨站脚本(Reflected XSS)漏洞。在ListingPro主题的某些参数处理中,用户输入的数据未经充分过滤或转义就直接嵌入到HTML页面中返回给用户。当攻击者构造包含恶意JavaScript代码的特殊URL参数时,这些代码会在受害者访问页面时在浏览器中执行。反射型XSS的特点是恶意脚本不会存储在服务器端,而是通过URL参数等方式即时反射给用户。攻击者通常会诱导用户点击精心构造的恶意链接,这些链接可能伪装成正常的网站URL。一旦用户点击,恶意JavaScript代码便可在用户当前会话的上下文中执行,从而窃取敏感信息如Cookie、令牌或其他认证凭据。由于该漏洞存在于WordPress主题层面,理论上任何使用该主题的页面都可能受到影响。