CVE-2025-67628CVE-2025-67628是WordPress插件Review Disclaimer中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的免责声明功能中,由于对用户输入没有进行充分的过滤和转义,攻击者可以在评论免责声明功能中注入恶意JavaScript代码。该代码会被永久存储在数据库中,当管理员或其他用户访问相关页面时,恶意脚本会自动执行,可能导致会话劫持、窃取敏感信息或进行其他恶意操作。由于该漏洞需要高权限用户操作,且需要用户交互,CVSS评分为5.9,属于中等严重程度。
该存储型XSS漏洞存在于WordPress Review Disclaimer插件的review-disclaimer功能模块中。攻击者可以通过在免责声明设置或评论功能中注入包含恶意JavaScript代码的输入。由于插件在保存和展示用户输入时未对特殊字符进行适当的HTML转义,导致恶意代码被浏览器直接解析执行。攻击成功后,恶意脚本会在管理员访问相关页面时自动触发,可能用于窃取管理员cookies、劫持会话或执行其他客户端攻击。