CVE-2025-68497CVE-2025-68497是WordPress插件Astra Widgets中的一个高危存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的Widget组件中,由于对用户输入缺乏适当的输出转义处理,攻击者可以在Widget中注入恶意JavaScript代码。一旦恶意代码被存储,任何访问包含该Widget的页面的用户都会受到攻击,导致会话cookie被盗、账户被劫持或恶意重定向等安全风险。由于该漏洞需要高权限用户(如管理员或编辑)才能触发,且需要用户交互,因此CVSS评分为5.9(中危)。攻击者可以利用此漏洞对网站访问者进行多种攻击,包括但不限于窃取敏感信息、修改页面内容、植入钓鱼链接或传播恶意软件。Astra Widgets是Astra主题生态的重要组成部分,被广泛应用于WordPress网站构建场景,因此该漏洞可能影响大量使用该插件的网站。
该存储型XSS漏洞源于Astra Widgets插件在处理Widget内容时未对用户输入进行充分的HTML转义。攻击者(通常为高权限用户)可以在创建或编辑Widget时,在标题、文本内容或HTML模块中插入恶意脚本代码。由于插件直接存储并输出用户输入的内容而未进行安全过滤,这些恶意代码会被永久保存在数据库中。当其他用户访问包含该Widget的页面时,浏览器会执行这些恶意脚本。典型的攻击Payload可能包含<script>标签、事件处理器(如onerror、onload)或JavaScript伪协议。攻击者可以利用此漏洞执行任意JavaScript代码,进而窃取用户的认证令牌、CSRF token或进行会话劫持。由于该漏洞影响前端输出,所有访问受影响页面的用户都可能成为受害者,攻击范围广泛。