CVE-2025-69096G5Theme开发的WordPress主题Zorka存在一个反射型跨站脚本(XSS)漏洞,编号为CVE-2025-69096。该漏洞源于对网页生成期间输入的净化不当。攻击者可以通过诱导受害者访问特制的恶意链接,利用此漏洞在受害者的浏览器中执行任意JavaScript代码。该漏洞影响Zorka主题版本1.5.7及以下版本。由于其CVSS评分为7.1,属于高危漏洞,且无需认证即可触发,因此对网站用户构成较大安全风险,可能导致用户cookie窃取、会话劫持或恶意重定向。
该漏洞属于反射型XSS,通常发生在应用程序接收用户输入并将其直接嵌入到HTTP响应中,而未进行适当的输出编码或验证时。在Zorka主题中,特定的参数(如搜索查询、URL片段或表单输入)被传递回前端页面渲染。攻击者可以构造包含恶意JavaScript代码的URL。当未经过滤的用户代理请求此URL时,服务器会将恶意脚本反射回响应页面。由于攻击向量为网络(AV:N),攻击复杂度低(AC:L),且无需权限(PR:N),任何访问该站点的用户都可能成为目标。虽然需要用户交互(UI:R),通常只需点击链接即可。利用此漏洞,攻击者可以绕过同源策略,窃取受害者的会话令牌(Session ID)、修改网页内容、进行钓鱼攻击或利用浏览器漏洞进一步渗透。