CVE-2025-7782CVE-2025-7782是WordPress JobHunt招聘插件中的一个高危安全漏洞,该插件被JobCareer主题使用。漏洞源于cs_update_application_status_callback函数缺少权限检查,导致具有Candidate级别访问权限的已认证用户可以修改任意用户的求职申请状态。更严重的是,攻击者可以通过status参数注入恶意跨站脚本(XSS)代码,这些恶意代码会在其他用户查看申请记录时执行。CVSS评分7.6,属于高危漏洞,攻击复杂度低,无需用户交互即可利用。该漏洞影响JobHunt插件7.7及之前所有版本,2025年12月20日被披露。由于涉及权限提升和存储型XSS,攻击者可能窃取管理员Cookie、会话劫持或执行恶意操作。
漏洞根源在于WordPress JobHunt插件的cs_update_application_status_callback AJAX回调函数未实施适当的权限验证。正常情况下,修改申请状态应仅限管理员或招聘人员操作,但该函数缺少current_user_can()或同等权限检查。攻击者只需拥有Candidate(求职者)角色即可调用此端点。攻击者通过向wp-admin/admin-ajax.php发送POST请求,在status参数中注入XSS payload(如<script>alert(document.cookie)</script>),该payload被存储到数据库。当招聘人员或管理员查看申请列表时,恶意脚本在受害者浏览器中执行,可实现会话劫持、凭据窃取或进一步攻击。由于是存储型XSS,攻击具有持久性。漏洞影响7.7及之前版本,Wordfence于2025年12月披露此漏洞并提供详细技术分析。