CVE-2025-66094CVE-2025-66094是WordPress Yada Wiki插件中的一个存储型跨站脚本(XSS)漏洞。该漏洞由于应用程序在生成Web页面时未能正确对用户输入进行中和处理,导致攻击者可以在Wiki内容中注入恶意JavaScript代码。由于是存储型XSS,恶意脚本会被永久保存在服务器端,所有访问包含恶意内容的页面的用户都会受到攻击。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或在用户浏览器中执行任意操作。该漏洞需要低权限用户身份即可实施攻击,但需要用户交互(如点击链接或访问特定页面)才能触发恶意脚本执行。CVSS评分6.5属于中等严重程度,主要影响使用该插件的WordPress网站。
该漏洞属于CWE-79(Web页面生成时输入中和不当)类别,具体为存储型XSS攻击。在Yada Wiki插件中,当用户提交Wiki内容时,应用程序未对用户输入进行充分的HTML实体编码或输入验证。攻击者可以在Wiki页面中嵌入恶意脚本标签,如<script>alert(document.cookie)</script>或<img src=x onerror=恶意代码>。这些恶意内容被存储在数据库中,当其他用户访问该Wiki页面时,服务器将未经过滤的内容直接返回给客户端浏览器,导致恶意脚本执行。攻击者通常利用此漏洞窃取用户的认证令牌(Cookie),从而实现会话劫持。由于该插件允许用户创建和编辑Wiki内容,且不需要管理员权限即可编辑,因此攻击门槛相对较低。防御措施包括:对所有用户输入进行严格的输入验证和输出编码,使用Content Security Policy (CSP)头部,以及使用现代Web应用框架提供的自动转义功能。