CVE-2025-69051CVE-2025-69051是WordPress插件ListingPro Reviews中的一个反射型跨站脚本(XSS)漏洞。该漏洞由于应用程序在Web页面生成过程中未正确对用户输入进行中和处理,导致攻击者可以在受害者浏览器中执行任意JavaScript代码。攻击者利用此漏洞可窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。由于该漏洞需要用户交互(点击恶意链接),攻击难度相对较低,但成功利用后影响范围广泛。受影响的插件版本在n/a至2.9.11之间,CVSS评分7.1,属于高危漏洞。
该反射型XSS漏洞存在于ListingPro Reviews插件的多个参数处理点。攻击者通过构造包含恶意JavaScript代码的URL参数,当受害者访问该URL时,服务器将未经过滤的用户输入直接回显到响应页面中。攻击者可利用此漏洞执行以下操作:1)窃取用户会话Cookie和敏感信息;2)重定向用户到钓鱼网站;3)在受害者上下文中执行任意JavaScript代码;4)修改页面内容进行鱼叉式钓鱼攻击。由于CVSS向量显示需要用户交互(UI:R),攻击者通常通过社交工程手段诱导受害者点击恶意链接。该漏洞影响插件的列表查看和评论功能模块,攻击者可利用搜索参数或ID参数注入payload。