CVE-2026-24980CVE-2026-24980是NooTheme Visionary Core插件中发现的一个反射型跨站脚本(XSS)漏洞。由于该插件在Web页面生成过程中未能正确中和用户输入,攻击者可诱导受害者访问恶意链接,从而在受害者浏览器中执行任意JavaScript代码。该漏洞影响版本包括1.4.9及以下版本,具有较高的安全风险,可能导致用户敏感信息泄露或会话劫持。
该漏洞属于反射型XSS,其根本原因在于应用程序对HTTP请求参数的过滤不严。在受影响的Visionary Core插件中,特定接口直接将用户提交的参数(如GET或POST参数)输出到HTML响应中,未经过适当的HTML实体编码或转义。攻击者可以构造包含恶意脚本(如<script>alert(document.cookie)</script>)的URL。当受害者(通常是管理员或已登录用户)点击该链接时,服务器会接收请求并将恶意参数反射回页面,浏览器解析HTML时执行该脚本。由于CVSS评分中UI:R(需要用户交互),攻击通常需要社会工程学手段诱骗用户点击。利用成功后,攻击者可窃取Cookie、重定向至钓鱼网站或执行敏感操作。