WordPress Complag 插件跨站脚本漏洞 (CVE-2025-14125) 技术分析

本文详细分析了 WordPress Complag 插件中存在的反射型跨站脚本(XSS)漏洞 CVE-2025-14125。该漏洞源于对 `$_SERVER['PHP_SELF']` 变量的输入清理和输出转义不足,允许攻击者注入任意脚本。

CVE-2025-14125:CWE-79 在 andru1 Complag 中网页生成期间输入中和不当(‘跨站脚本’)

严重性: 中等 类型: 漏洞

CVE: CVE-2025-14125

WordPress 的 Complag 插件在所有直至并包括 1.0.2 的版本中,由于对 $_SERVER['PHP_SELF'] 变量的输入清理和输出转义不足,存在反射型跨站脚本漏洞。这使得未经身份验证的攻击者能够向页面中注入任意 Web 脚本,如果他们能成功诱使用户执行点击链接等操作,这些脚本便会执行。

来源: CVE 数据库 V5 发布日期: 2025年12月12日 星期五

技术细节

  • 数据版本: 5.2
  • 分配者简称: Wordfence
  • 预留日期: 2025-12-05T16:58:21.824Z
  • Cvss 版本: 3.1
  • 状态: 已发布

威胁 ID: 693b9189650da22753edbd90 添加到数据库: 2025年12月12日 凌晨3:52:41 最后更新: 2025年12月12日 凌晨4:01:32 浏览量: 2

社区评论 0 条评论

相关威胁

  • CVE-2025-14467: CWE-79 Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) in wpjobportal WP Job Portal – AI-Powered Recruitment System for Company or Job Board website
    • 严重性: 中等
    • 类型: 漏洞
    • 日期: 2025年12月12日 星期五
  • CVE-2025-14393: CWE-79 Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) in awanhrp Wpik WordPress Basic Ajax Form
    • 严重性: 中等
    • 类型: 漏洞
    • 日期: 2025年12月12日 星期五
  • CVE-2025-14392: CWE-862 Missing Authorization in darendev Simple Theme Changer
    • 严重性: 中等
    • 类型: 漏洞
    • 日期: 2025年12月12日 星期五
  • CVE-2025-14391: CWE-352 Cross-Site Request Forgery (CSRF) in darendev Simple Theme Changer
    • 严重性: 中等
    • 类型: 漏洞
    • 日期: 2025年12月12日 星期五
  • CVE-2025-14354: CWE-352 Cross-Site Request Forgery (CSRF) in doubledome Resource Library for Logged In Users
    • 严重性: 中等
    • 类型: 漏洞
    • 日期: 2025年12月12日 星期五

外部链接

  • NVD 数据库
  • MITRE CVE
  • 参考 1
  • 参考 2
  • 参考 3
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次