CVE-2025-69088CVE-2025-69088是WordPress插件Combo Offers WooCommerce中的一个DOM型跨站脚本(XSS)漏洞。该漏洞存在于插件的Web页面生成过程中,由于对用户输入的不当处理,导致恶意脚本可以在受害者浏览器中执行。攻击者可以利用此漏洞窃取用户会话cookie、劫持用户账户、进行钓鱼攻击或在用户浏览器中执行任意JavaScript代码。该漏洞的CVSS评分为6.5,属于中等严重程度,攻击复杂度低,但需要低权限用户参与且需要用户交互才能成功利用。漏洞影响插件4.2及以下所有版本,鉴于该插件在WordPress生态中的广泛使用,受影响网站数量可能较多。
DOM型XSS是一种特殊的跨站脚本漏洞,其特点是不需要服务端参与,恶意代码完全在客户端浏览器的DOM环境中执行和传播。漏洞通常发生在JavaScript代码直接使用document.write、innerHTML、eval等方法处理用户可控的输入时。在Combo Offers WooCommerce插件中,攻击者可以通过构造特定的URL参数或表单输入,在页面加载时注入恶意JavaScript代码。当受害者访问包含恶意载荷的页面时,浏览器会解析并执行这些脚本。由于DOM型XSS的payload存储在客户端URL中,传统的服务端WAF和安全扫描工具可能无法有效检测此类攻击。攻击者常利用此漏洞窃取认证令牌、修改页面内容或重定向用户到恶意网站。