CVE-2025-68080CVE-2025-68080是WordPress插件User Avatar - Reloaded中的一个存储型跨站脚本(XSS)漏洞。该漏洞由于插件在处理用户上传的头像时未对用户输入进行充分的过滤和转义,导致恶意JavaScript代码可以被存储在数据库中。当其他用户或管理员访问包含恶意头像的页面时,存储的脚本会被执行,从而窃取会话Cookie、劫持用户账户或进行其他恶意操作。由于该漏洞影响WordPress插件的低权限用户上传功能,攻击者可以利用此漏洞对网站进行进一步的攻击,对网站安全性造成严重威胁。
该漏洞属于存储型XSS(Stored XSS)漏洞,存在于User Avatar Reloaded插件的头像上传和处理功能中。漏洞的根本原因是在Web页面生成过程中对用户输入的HTML/JavaScript内容缺乏适当的过滤和转义处理。攻击者(即使是低权限用户)可以在上传用户头像时,将恶意构造的JavaScript代码嵌入到头像元数据或相关字段中。当网站其他用户或管理员查看包含该头像的页面时(如评论区、作者页面等),恶意脚本会被浏览器作为合法内容执行。由于WordPress管理员权限可以执行更高级的操作,存储型XSS漏洞可能被利用来获取管理员权限或进一步渗透整个网站系统。攻击者可以利用窃取的会话Cookie冒充合法用户执行各种操作。