概述
CVE-2025-52741是WordPress Post Connector插件中的一个跨站脚本(XSS)漏洞,影响1.0.11及以下版本。
漏洞描述
由于在网页生成过程中未能正确过滤输入(跨站脚本)漏洞,Barry Kooij开发的Post Connector插件存在反射型XSS漏洞。此问题影响Post Connector插件:从n/a到1.0.11及以下版本。
漏洞时间线
发布日期:2025年10月22日 15:15
最后修改:2025年10月22日 21:15
远程利用:是
来源:audit@patchstack.com
受影响产品
目前尚未记录受影响的具体产品信息。
总受影响供应商:0 | 产品:0
CVSS评分
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.0 | CVSS 3.1 | 严重 | 2.2 | 6.0 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 将Post Connector更新至1.0.12或更高版本
- 应用供应商提供的安全补丁
- 对所有用户输入进行清理
- 对输出进行编码以防止脚本执行
参考信息
URL:https://vdp.patchstack.com/database/Wordpress/Plugin/post-connector/vulnerability/wordpress-post-connector-plugin-1-0-11-cross-site-scripting-xss-vulnerability
CWE常见弱点枚举
CWE-79:在网页生成过程中未能正确过滤输入(跨站脚本)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹识别
- CAPEC-209:使用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞历史记录
CVE修改由134c704f-9b21-4f2e-91b3-4a467353bcc0于2025年10月22日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
新CVE接收由audit@patchstack.com于2025年10月22日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在网页生成过程中未能正确过滤输入(跨站脚本)漏洞 | |
| 添加 | CWE | CWE-79 | |
| 添加 | 参考 | Patchstack漏洞数据库链接 |
漏洞评分详情
基础CVSS评分:9.0
攻击向量:网络 攻击复杂度:高 所需权限:无 用户交互:无 范围:已更改 机密性影响:高 完整性影响:高 可用性影响:高