CVE-2025-68978CVE-2025-68978是WordPress设计主题核心插件(DesignThemes Core)中的一个存储型跨站脚本(XSS)漏洞,CVSS评分6.5,属于中等严重程度。该漏洞存在于插件的web页面生成过程中,由于对用户输入的清理和转义处理不当,导致攻击者可以在网页中注入恶意脚本代码。攻击者利用此漏洞可以窃取受害者的会话cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。漏洞影响DesignThemes Core插件1.6及以下所有版本。由于该漏洞属于DOM型XSS,恶意脚本在客户端浏览器中执行,传统的服务器端安全措施可能无法完全防护。此漏洞由Patchstack安全团队发现并报告,攻击复杂度较低,但需要用户交互才能触发。
该DOM型XSS漏洞源于DesignThemes Core插件在前端页面渲染时,直接将用户可控的输入嵌入到HTML文档中而未进行适当的转义处理。攻击者可以通过在评论、表单字段或URL参数中注入恶意JavaScript代码,如<script>alert(document.cookie)</script>。当其他用户访问包含恶意内容的页面时,浏览器会将其解析为可执行脚本并在受害者浏览器上下文中执行。DOM型XSS的特点是攻击载荷在客户端通过JavaScript动态生成,而非服务器响应中直接包含,因此WAF等服务器端安全设备难以检测。攻击者通常需要诱导受害者点击特制链接或访问特定页面来触发漏洞利用。成功利用后可获取用户会话令牌、执行任意操作或重定向用户到钓鱼站点。