CVE-2025-67629CVE-2025-67629是WordPress平台下Basticom Framework插件的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的输入验证机制中,攻击者可以通过在受影响的输入字段中注入恶意JavaScript代码,当其他用户访问包含该恶意代码的页面时,脚本会在用户浏览器中执行。存储型XSS相比反射型XSS更为危险,因为恶意代码被永久存储在服务器端,所有访问该内容的用户都会受到攻击。该漏洞影响Basticom Framework从初始版本到1.5.2的所有版本。由于该插件通常具有较高的管理员权限要求,攻击者成功利用此漏洞后可能窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或修改页面内容,对网站安全性造成严重威胁。
该存储型XSS漏洞源于Basticom Framework插件在处理用户输入时未对特殊字符进行充分的HTML转义。攻击者利用WordPress的评论、表单或其他用户可输入的字段,注入包含<script>标签或事件处理器(如onerror、onload等)的恶意代码。由于插件将这些输入未经消毒地存储在数据库中,并在后续页面加载时直接输出到HTML中,导致恶意脚本在受害者浏览器中执行。攻击成功的关键条件包括:1)攻击者需具有较高的权限(PR:H)才能提交恶意内容;2)需要诱导其他用户访问包含恶意代码的页面(UI:R)。CVSS向量显示攻击复杂度为低(AC:L),意味着一旦权限获取,技术层面较易实现。攻击者可窃取认证Cookie、冒充合法用户执行操作、修改页面显示内容或重定向用户到恶意站点。