CVE-2025-68499 - WordPress JetTabs 插件 <= 2.2.12 - 跨站脚本(XSS)漏洞
概述
CVE ID: CVE-2025-68499 产品: WordPress JetTabs 插件 漏洞类型: 跨站脚本(XSS)
漏洞描述
Crocoblock 公司的 JetTabs 插件存在“网页生成过程中输入净化不当(跨站脚本)”漏洞,允许 DOM型 XSS 攻击。此问题影响 JetTabs 插件从 n/a 版本至 2.2.12 版本。
关键信息:
- 发布日期: 2025年12月30日 00:15
- 最后修改日期: 2025年12月30日 00:15
- 可远程利用: 是
- 来源: audit@patchstack.com
受影响产品
目前尚未记录受此漏洞影响的具体产品信息。
- 受影响供应商总数: 0
- 受影响产品总数: 0
CVSS 评分
CVSS 3.1 分数: 6.5 (中危)
| 分数 | 版本 | 严重性 | 来源 |
|---|---|---|---|
| 6.5 | CVSS 3.1 | 中危 | audit@patchstack.com |
| 6.5 | CVSS 3.1 | 中危 | MITRE-CVE |
CVSS 3.1 向量: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
- 攻击向量 (AV): 网络 (N)
- 攻击复杂度 (AC): 低 (L)
- 所需权限 (PR): 低 (L)
- 用户交互 (UI): 需要 (R)
- 影响范围 (S): 已改变 (C)
- 机密性影响 (C): 低 (L)
- 完整性影响 (I): 低 (L)
- 可用性影响 (A): 低 (L)
解决方案
- 将 JetTabs 插件更新到 2.2.12 之后的版本,以修复 DOM 型 XSS 漏洞。
- 应用供应商提供的补丁或安全更新。
相关咨询、解决方案和工具链接
CWE - 常见缺陷枚举
此漏洞与以下 CWE 类别相关联:
CWE-79: 网页生成过程中输入净化不当(跨站脚本)
常见攻击模式枚举与分类 (CAPEC)
以下是与利用此漏洞弱点相关的常见攻击模式描述:
- CAPEC-63: 跨站脚本 (XSS)
- CAPEC-85: AJAX 足迹探测
- CAPEC-209: 利用 MIME 类型不匹配进行 XSS
- CAPEC-588: DOM 型 XSS
- CAPEC-591: 反射型 XSS
- CAPEC-592: 存储型 XSS
漏洞时间线
-
2025年12月30日: 收到来自 audit@patchstack.com 的新 CVE 报告。
- 操作: 添加
- 类型: 描述
-
2025年12月30日:
- 操作: 添加
- 类型: CVSS V3.1
- 新值:
AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
-
2025年12月30日:
- 操作: 添加
- 类型: CWE
- 新值: CWE-79
-
2025年12月30日: