WordPress Fancy Product Designer插件跨站脚本漏洞深度解析

本文详细介绍了CVE-2025-12570漏洞,该漏洞存在于WordPress的Fancy Product Designer插件中,由于对SVG文件上传的输入验证和输出转义不足,导致未经认证的攻击者可执行存储型跨站脚本攻击。

CVE-2025-12570: CWE-79 Web页面生成期间输入中和不当(跨站脚本)漏洞

严重性:高 类型:漏洞 CVE:CVE-2025-12570

WordPress的Fancy Product Designer插件在所有版本(包括6.4.8及之前版本)中,通过SVG文件上传存在存储型跨站脚本(XSS)漏洞。此漏洞源于data-to-image.phppdf-to-image.php文件中输入净化和输出转义不足。这使得未经身份验证的攻击者能够在页面中注入任意Web脚本,这些脚本将在用户访问SVG文件时执行。

来源: CVE数据库 V5 发布日期: 2025年12月12日 星期五

技术详情

  • 数据版本: 5.2
  • 分配者简称: Wordfence
  • 预留日期: 2025-10-31T20:18:32.570Z
  • CVSS版本: 3.1
  • 状态: 已发布
  • 威胁ID: 693bbde4e6d9263eb3549372
  • 添加到数据库时间: 2025年12月12日上午7:01:56
  • 最后更新时间: 2025年12月12日上午7:02:20
  • 浏览量: 1

相关威胁

  • CVE-2025-67727: CWE-94: parse-community parse-server中的代码生成控制不当(代码注入) - 中危 - 2025年12月12日 星期五
  • CVE-2025-14356: CWE-639 通过用户控制密钥在themefic Ultra Addons for Contact Form 7中授权绕过 - 中危 - 2025年12月12日 星期五
  • CVE-2025-14068: CWE-89 在qdonow WPNakama – Team and multi-Client Collaboration, Editorial and Project Management中SQL命令使用的特殊元素中和不当(SQL注入) - 高危 - 2025年12月12日 星期五
  • CVE-2025-13660: CWE-200 在rcatheme Guest Support中向未授权参与者暴露敏感信息 - 中危 - 2025年12月12日 星期五
  • CVE-2025-12655: CWE-862 在hippooo Hippoo Mobile App for WooCommerce中授权缺失 - 中危 - 2025年12月12日 星期五
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次