CVE-2025-67959CVE-2025-67959是WordPress WorkScout主题中的一个高危安全漏洞,CVSS评分7.1。该漏洞为反射型跨站脚本攻击(XSS),存在于purethemes开发的WorkScout主题中,版本从n/a至4.1.07均受影响。攻击者可利用此漏洞在用户浏览器中执行恶意JavaScript代码,窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或篡改页面内容。由于该漏洞属于反射型XSS,需要诱导用户点击特制链接才能触发,攻击复杂度较低但危害严重。WorkScout是一款流行的WordPress招聘和求职主题,被广泛应用于招聘网站和职业平台,一旦被攻击,将直接威胁到网站用户的数据安全和隐私。
该反射型XSS漏洞源于WorkScout主题在处理用户输入时未正确对特殊字符进行HTML转义。攻击者可在URL参数中嵌入恶意JavaScript代码,当受害者访问包含恶意payload的链接时,反射的输入会被浏览器解析为可执行脚本。典型的攻击payload可能包含在搜索参数、过滤器参数或导航参数中。攻击成功的前提条件包括:1)攻击者构造含有XSS payload的恶意链接;2)诱导受害者点击该链接;3)受害者浏览器执行注入的脚本代码。漏洞影响所有未修复的WorkScout版本(<= 4.1.07),攻击者可通过自动化工具批量生成钓鱼链接进行大规模攻击。修复方案是在输出用户输入时使用合适的编码函数(如htmlspecialchars)对特殊字符进行转义。