CVE-2026-24973NooTheme CitiLights主题被发现存在反射型跨站脚本(XSS)漏洞。该漏洞源于主题未能正确中和用户在网页生成过程中的输入,允许攻击者注入恶意脚本。此问题影响从n/a到3.7.1的所有版本。攻击者可利用此漏洞诱导受害者点击特制链接,进而窃取Cookie、会话令牌或重定向至恶意网站,对用户隐私和系统安全造成严重影响。
该漏洞的核心在于NooTheme CitiLights主题在处理特定HTTP请求参数时,未实施有效的输入过滤和输出编码。攻击者利用这一缺陷,可以构造包含恶意JavaScript代码的URL。由于CVSS向量显示攻击复杂度低(AC:L)且无需权限(PR:N),攻击门槛较低。当受害者被诱骗点击该恶意链接时,服务器端接收参数并将其原样反射回HTML页面响应中。受害者的浏览器在解析响应时,无法区分恶意代码与正常内容,从而执行攻击者预设的脚本。考虑到作用域变化(S:C),该漏洞可能导致攻击者绕过同源策略限制,窃取敏感信息或控制用户账户。