概述
CVE-2025-8413是WordPress Listeo主题中的一个安全漏洞,影响版本为2.0.8及以下。该漏洞属于存储型跨站脚本(Stored XSS)类型,允许经过认证的攻击者通过soundcloud短代码注入恶意脚本。
漏洞详情
漏洞描述
WordPress Listeo主题在2.0.8及以下版本中存在存储型跨站脚本漏洞,由于对用户提供的属性输入清理不足和输出转义不充分,使得具有贡献者及以上权限的认证攻击者能够在页面中注入任意Web脚本。当用户访问被注入的页面时,这些脚本将会执行。
漏洞时间线
- 发布日期:2025年10月25日 上午6:15
- 最后修改:2025年10月25日 上午6:15
- 远程利用:是
- 信息来源:security@wordfence.com
受影响产品
目前尚未记录具体的受影响产品信息。
CVSS评分
- 评分:6.4(中危)
- 版本:CVSS 3.1
- 向量:AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
- 可利用性评分:2.7
- 影响评分:3.1
- 评分来源:security@wordfence.com
解决方案
- 将Listeo主题更新到修复了soundcloud短代码存储型XSS漏洞的最新版本
- 确保正确清理用户提供的属性
- 对所有用户生成的内容实施输出转义
相关参考
相关弱点枚举(CWE)
- CWE-79:在网页生成过程中输入中和不当(跨站脚本)
常见攻击模式枚举(CAPEC)
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹识别
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞历史记录
- 2025年10月25日:收到来自security@wordfence.com的新CVE报告
- 添加项目:漏洞描述、CVSS v3.1评分、CWE分类、相关参考链接