CVE-2025-64381CVE-2025-64381是WordPress Booking Calendar插件中的一个存储型跨站脚本攻击(Stored XSS)漏洞。该漏洞由于插件在处理用户输入时未能正确对特殊字符进行转义或过滤,导致攻击者注入的恶意JavaScript代码被永久存储在数据库中。当其他用户访问包含恶意代码的页面时,浏览器会执行这些脚本,从而窃取会话Cookie、劫持用户账户或进行其他恶意操作。攻击者需要拥有低权限账户(如订阅者角色)即可利用此漏洞,且需要诱导其他用户(如管理员)访问特定页面触发攻击。由于该漏洞影响WordPress最受欢迎的预订日历插件之一,可能涉及大量网站和用户数据安全。
该存储型XSS漏洞存在于Booking Calendar插件的预订处理功能中。攻击者可以在预订表单的特定字段(如姓名、邮箱、电话或备注字段)中注入恶意JavaScript代码。由于插件在将用户输入存储到数据库时未进行充分的输入验证和输出编码,这些恶意代码会被永久保存。当管理员或其他用户在WordPress后台或前台查看预订记录时,浏览器会解析并执行这些恶意脚本。攻击者可以利用此漏洞窃取管理员的认证令牌、执行未经授权的操作或进一步渗透网站。由于CVSS评分为6.5且具有网络攻击向量和低权限需求,漏洞利用门槛相对较低,但需要用户交互才能触发。