CVE-2025-23550 - WordPress Product Puller插件 <= 1.5.1 - 反射型跨站脚本漏洞

概述

CVE-2025-23550是影响WordPress插件Product Puller的一个安全漏洞。该漏洞被归类为反射型跨站脚本漏洞，源于在网页生成过程中未能正确中和用户输入。此漏洞影响从n/a版本到1.5.1的所有Product Puller插件版本。

漏洞时间线

• 发布日期： 2025年12月30日 00:15
• 最后修改日期： 2025年12月30日 00:15

漏洞描述

Kemal YAZICI开发的Product Puller插件存在"网页生成过程中输入中和不当"的漏洞，导致了反射型XSS攻击的可能。此问题影响Product Puller插件从n/a版本到1.5.1版本。

关键信息：

• 远程利用： 是
• 漏洞来源： audit@patchstack.com

受影响产品

目前尚未记录到具体的受影响产品信息。

• 受影响厂商总数：0
• 产品总数：0

CVSS评分

通用漏洞评分系统是评估软件和系统漏洞严重性的标准化框架。以下是各来源对该CVE的CVSS评分：

解决方案

1. 更新插件： 将Product Puller更新到1.5.2或更高版本以修复反射型XSS漏洞。
2. 输入净化： 在渲染前对用户输入进行净化处理。
3. 避免直接反射： 避免直接将用户输入反射到页面上。

参考链接

• https://vdp.patchstack.com/database/wordpress/plugin/product-puller/vulnerability/wordpress-product-puller-plugin-1-5-1-reflected-cross-site-scripting-xss-vulnerability?_s_id=cve

CWE - 常见缺陷枚举

CVE-2025-23550与以下CWE类别相关联：

• CWE-79： 网页生成过程中输入中和不当（跨站脚本）

常见攻击模式枚举与分类

与CVE-2025-23550弱点相关的常见攻击模式包括：

• CAPEC-63：跨站脚本攻击
• CAPEC-85：AJAX足迹追踪
• CAPEC-209：利用MIME类型不匹配的XSS攻击
• CAPEC-588：基于DOM的XSS攻击
• CAPEC-591：反射型XSS攻击
• CAPEC-592：存储型XSS攻击

GitHub漏洞利用代码

我们在GitHub仓库中扫描新的概念验证漏洞利用代码。以下是已发布在GitHub上的公共漏洞利用代码和概念验证列表（按最近更新时间排序）。

注意： 由于潜在的性能问题，结果限制在前15个仓库。

相关新闻报道

以下是文章中提及CVE-2025-23550漏洞的任何地方的新闻列表。

注意： 由于潜在的性能问题，结果限制在前20篇新闻文章。

漏洞历史记录

以下表格列出了CVE-2025-23550漏洞随时间的变化。

了解漏洞历史记录的详细信息有助于理解漏洞的演变过程，并识别可能影响漏洞严重性、可利用性或其他特征的最新变化。

EPSS评分

EPSS是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS评分历史。

攻击类型： 跨站脚本攻击

漏洞评分详情

CVSS 3.1基础评分：7.1