CVE-2025-69008CVE-2025-69008是WordPress插件Inboxify Sign Up Form中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的注册表单功能中,由于对用户输入缺乏适当的输入验证和输出编码,攻击者可以在表单提交时注入恶意JavaScript代码。这些恶意代码会被永久存储在数据库中,当管理员或其他用户访问包含该恶意数据的页面时,注入的脚本会在其浏览器中执行。攻击者可利用此漏洞窃取会话Cookie、劫持用户账户、进行钓鱼攻击或在网站上注入恶意内容。由于该插件主要用于网站注册功能,漏洞影响范围包括所有使用该插件的WordPress网站。CVSS评分5.9属于中等严重程度,主要因为攻击需要高权限用户操作且需要用户交互,但存储型XSS的持久性使其仍具有相当的危害性。
该漏洞属于典型的存储型XSS(Stored XSS)漏洞。在Inboxify Sign Up Form插件的注册表单处理逻辑中,插件接收用户提交的表单数据(包括姓名、邮箱等字段),但未对用户输入进行充分的HTML标签过滤和JavaScript脚本过滤。当管理员在WordPress后台查看订阅者列表或导出用户数据时,存储的恶意脚本会被浏览器解析执行。攻击者可以在表单的文本输入字段中插入<script>alert(document.cookie)</script>或使用事件处理器如<img src=x onerror=alert(1)>等payload。插件的输出点可能位于用户列表展示区域或邮件通知模板中。由于数据存储在WordPress数据库中,恶意脚本会持久存在,每次相关页面被访问时都会触发,除非手动清理数据库中的恶意数据。修复该漏洞需要在输入端添加白名单验证,在输出端对所有用户可控数据进行HTML实体编码。