CVE-2026-24979NooTheme Jobica Core插件被披露存在反射型跨站脚本(XSS)漏洞。该漏洞源于Web页面生成过程中未能正确中和用户输入,导致攻击者能够注入恶意脚本。此问题影响从n/a到1.4.1的所有版本。由于漏洞无需认证即可利用,攻击者可诱导受害者访问包含恶意代码的URL,从而在受害者浏览器中执行脚本。CVSS评分7.1,属于高危漏洞,可能造成数据泄露或会话劫持。
该漏洞属于反射型跨站脚本攻击(Reflected XSS),其技术核心在于Web应用程序对用户输入缺乏足够的信任。在Jobica Core插件中,特定接口或参数在接收用户数据后,未经过严格的HTML实体编码或过滤便直接嵌入到HTTP响应中。攻击者可以构造包含JavaScript恶意代码的URL(例如:`http://example.com/?vulnerable_param=<script>alert(1)</script>`)。由于CVSS向量显示无需特权(PR:N),任何能访问该URL的用户都可能触发漏洞。攻击链通常依赖社会工程学,诱使受害者点击链接。一旦受害者浏览器解析该响应,恶意脚本即获得该域下的执行权限,进而读取Document Cookie、修改DOM结构或发起伪造请求,严重威胁用户隐私与系统安全。