CVE-2025-68566CVE-2025-68566是WordPress插件my-auctions-allegro-free-edition中的一个存储型跨站脚本(Stored XSS)漏洞。该插件是一款用于在WordPress网站上集成Allegro拍卖平台的免费插件。漏洞源于该插件未能正确对用户输入进行充分的过滤和转义处理,导致攻击者可以在插件管理的拍卖数据中注入恶意JavaScript代码。由于是存储型XSS,恶意代码会被永久保存在服务器数据库中,当其他用户访问包含恶意内容的页面时,攻击脚本会自动执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。由于该漏洞需要高权限用户(如管理员)才能注入恶意代码,且需要其他用户交互触发,因此CVSS评分仅为5.9(中危)。
该存储型XSS漏洞存在于my-auctions-allegro插件处理拍卖标题、描述或相关字段的过程中。攻击者(拥有高权限)可以在插件的拍卖管理界面中输入包含恶意JavaScript代码的内容,如:<script>alert(document.cookie)</script>。由于插件在保存数据时未对特殊字符进行HTML实体转义,直接将用户输入存储到数据库中。当其他用户访问前端页面查看拍卖信息时,服务器从数据库取出未经过滤的数据并嵌入到HTML响应中,浏览器将其解析为可执行的JavaScript代码,从而触发XSS攻击。攻击者可以利用此漏洞获取受害者的认证Cookie、操纵页面内容或重定向用户到恶意网站。由于需要高权限账户才能利用此漏洞,攻击者本身可能已具有较高的访问权限,但通过XSS仍可横向移动至其他低权限用户。