CVE-2025-8617：CWE-79 在网页生成过程中输入中和不当（跨站脚本）于 yithemes YITH WooCommerce 快速查看插件中

严重性： 中等 类型： 漏洞 CVE 编号： CVE-2025-8617

WordPress 的 YITH WooCommerce Quick View 插件存在存储型跨站脚本漏洞，影响所有 2.7.0 及之前版本。漏洞源于插件 yith_quick_view 短代码对用户提供的属性输入过滤和输出转义不足。这使得经过身份验证的攻击者（拥有贡献者及以上权限）能够在页面中注入任意网页脚本，当用户访问被注入的页面时，脚本将被执行。

技术摘要

CVE-2025-8617 是在 WordPress YITH WooCommerce Quick View 插件中发现的一个存储型跨站脚本漏洞，影响所有 2.7.0 及之前版本。该漏洞源于插件 yith_quick_view 短代码对用户提供的输入处理不当，由于过滤和输出转义不足，恶意脚本得以存储并在任何用户访问受影响页面时执行。利用此漏洞需要攻击者至少拥有贡献者级别的身份验证访问权限，使其能够注入任意 JavaScript 代码，这些代码会在包含被注入短代码的页面被查看时执行。这可能导致一系列攻击，包括会话劫持、以用户身份执行未授权操作以及潜在的权限提升。该漏洞的 CVSS 3.1 基础评分为 6.4，表明为中等严重性，攻击向量通过网络、攻击复杂度低、需要权限、无需用户交互，并且由于影响其他组件而导致范围改变。目前尚未报告公开的漏洞利用程序，但该漏洞存在于广泛使用的电子商务插件中，构成了重大风险。在报告时缺乏补丁，需要采取临时缓解措施，例如限制贡献者权限、禁用短代码，或应用自定义输入验证和输出编码以防止脚本注入。

潜在影响

对于欧洲组织，尤其是那些使用带有 YITH Quick View 插件的 WooCommerce 运营电子商务平台的组织，此漏洞存在客户端脚本注入风险，可能导致会话劫持、敏感客户数据窃取、未授权操作和声誉损害。存储型 XSS 的特性意味着一旦注入，恶意脚本会影响所有访问受感染页面的用户，可能对庞大的用户群产生影响。这可能导致客户信任丧失、因数据暴露而违反 GDPR 等法规不合规，以及欺诈或停机造成的财务损失。拥有管理内容的贡献者级别用户的组织尤其脆弱，因为这些账户可能被用来注入恶意代码。中等严重性评分反映了需要身份验证，但也凸显了在受信任用户群内易于利用的特点。对可用性的影响微乎其微，但用户会话和数据的机密性与完整性面临风险。

缓解建议

欧洲组织应优先考虑在供应商发布补丁后，将 YITH WooCommerce Quick View 插件更新到已打补丁的版本。在补丁可用之前，仅将贡献者级别的权限限制给受信任的用户，并考虑暂时禁用 yith_quick_view 短代码功能以防止利用。对与短代码相关的所有用户提供属性实施自定义输入验证和输出编码，以中和恶意脚本。部署针对此插件常见 XSS 负载的 Web 应用程序防火墙规则。定期对用户生成内容进行安全审计和监控，以发现可疑脚本。教育内容贡献者有关安全输入实践的知识，并监控日志以发现异常活动。此外，强制执行内容安全策略标头以限制脚本执行来源，并减少任何注入脚本的影响。最后，保持最新的备份，以便在发生攻击时能够快速恢复。

受影响国家

德国、英国、法国、意大利、西班牙、荷兰、波兰

来源： CVE Database V5 发布日期： 2025年12月13日，星期六