CVE-2025-8617CVE-2025-8617是YITH WooCommerce Quick View插件中的一个存储型跨站脚本(Stored Cross-Site Scripting)漏洞。该插件用于为WooCommerce电商网站提供快速查看产品功能。漏洞源于yith_quick_view短代码对用户提供的属性参数缺乏充分的输入验证和输出转义处理。在2.7.0及以下所有版本中,攻击者只需要拥有WordPress网站的贡献者(Contributor)级别权限即可利用此漏洞。通过在短代码属性中注入恶意JavaScript脚本,这些脚本会被永久存储在数据库中。当其他用户访问包含该恶意短代码的页面时,注入的脚本会自动执行,可能导致会话劫持、敏感信息窃取、管理员权限滥用等严重后果。此漏洞无需任何用户交互即可触发,攻击者可以利用已获取的低权限账户对整个网站造成安全威胁。
该漏洞存在于YITH WooCommerce Quick View插件的class.yith-wcqv-frontend.php文件第216行附近。漏洞的核心问题是短代码处理函数未对用户输入的属性值进行适当的输入清理(sanitization)和输出转义(output escaping)。攻击者可以通过WordPress的内容编辑功能,在使用[yith_quick_view]短代码时,通过各种属性参数注入恶意JavaScript代码。由于这些属性值直接被插入到HTML输出而未经过htmlspecialchars()或类似函数的转义处理,浏览器会将注入的脚本代码作为有效代码执行。攻击流程为:1)攻击者创建或编辑文章/页面;2)在短代码中插入恶意属性值如:yith_quick_view product_id='1" onmouseover="alert(document.cookie)"'; 3)保存内容后,恶意代码存储在数据库中;4)当受害者访问该页面时,注入的脚本在其浏览器上下文中执行。由于是存储型XSS,攻击效果具有持久性,影响所有访问该页面的用户。