WordPress 插件安全漏洞剖析:CVE-2025-14312 反射型XSS

本文详细分析了WordPress插件“Advance WP Query Search Filter”在1.0.10及之前版本中存在的一个反射型跨站脚本漏洞。该漏洞源于对参数处理不当,可能导致针对高权限用户的攻击。文章提供了漏洞概述、影响产品和解决方案。

CVE-2025-14312 - Advance WP Query Search Filter <= 1.0.10 - 通过计数器的反射型XSS

概述

描述

Advance WP Query Search Filter WordPress 插件(1.0.10及之前版本)未对某个参数进行清理和转义,便将其输出回页面,导致了反射型跨站脚本漏洞。此漏洞可用于攻击高权限用户,例如管理员。

信息

  • 发布日期:2025年12月30日 上午6:00
  • 最后修改日期:2025年12月30日 上午6:00
  • 可远程利用:否
  • 来源:WPScan

受影响产品

下列产品受到CVE-2025-14312漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本,相关信息也未在下表中体现。 暂无受影响产品记录。 总受影响供应商:0 | 产品:0

解决方案

  • 将Advance WP Query Search Filter插件更新到已解决反射型跨站脚本漏洞的版本。
  • 验证更新是否已解决该漏洞。

漏洞评分详情

暂无此漏洞的CVSS评分指标可用。

附加信息

  • EPSS评分:页面包含一个用于展示漏洞在接下来30天内被利用概率估计值的图表模块。
  • 公开利用情报:网站会扫描GitHub仓库以检测新的概念验证利用程序,结果限制为前15个仓库。
  • 相关新闻:网站列出了提及此漏洞的新闻报道,结果限制为前20篇文章。
  • 网站定制:页面最后部分为用户提供了自定义网站布局、配色方案、侧边栏样式等UI选项的控制面板。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次