CVE-2026-25435该漏洞源于wpdevart Booking calendar插件在网页生成时未能正确中和用户输入。攻击者无需身份验证即可利用此存储型XSS漏洞,将恶意脚本注入系统。当管理员或其他用户查看受影响的预订数据时,脚本将在其浏览器中执行。此漏洞影响3.2.36及以下版本,CVSS评分7.1,对系统机密性、完整性及可用性均构成威胁。
该漏洞属于典型的存储型跨站脚本攻击(Stored XSS)。其根本原因在于插件在处理用户提交的预订数据时,未对特定输入字段实施严格的数据清洗和HTML实体编码。攻击者无需任何身份认证(PR:N),即可构造包含恶意JavaScript代码的载荷,并通过插件接口发送至服务器。由于缺乏有效的输入验证,该载荷被持久化存储在数据库中。后续,当管理员或具有高权限的用户访问包含该数据的后台管理页面时,恶意脚本会在其浏览器上下文中自动执行。鉴于CVSS向量包含S:C(范围改变),攻击者不仅能窃取Session ID、Cookie等敏感信息,还能利用受害者的身份执行未授权操作,甚至植入后门账号,严重威胁网站安全。